Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein wichtiger Sicherheitsstandard für Organisationen, die Karteninhaberdaten speichern und verarbeiten. Ziel des Standards ist es, Daten zu schützen, Betrug einzuschränken und das Risiko einer Datenschutzverletzung zu reduzieren.
Der digitale Zahlungsverkehr ist weiter auf dem Vormarsch: Die Zahl der digitalen Transaktionen nimmt zu. Das macht die Sicherheit noch wichtiger. Insbesondere die Daten von Kreditkartennutzern müssen gut geschützt werden.
Die größten Kreditkartenanbieter haben dafür gemeinsam einen Standard festgelegt. Jede Organisation, die Daten von Karteninhabern verarbeitet und speichert, muss nachweisen, dass diese Daten nach den strengsten Anforderungen gesichert sind.
Selbstverständlich ist SimpledCard auch PCI-DSS zertifiziert. In diesem Artikel erklären wir, warum PCI-DSS so wichtig ist und wie Sie selbst den Standard einhalten können.
Was ist der PCI-DSS?
PCI-DSS wurde von Mastercard, VISA, American Express, JCB und Diners eingeführt. Es handelt sich um einen unabhängigen, internationalen Sicherheitsstandard zum Schutz der Daten von Karteninhabern im digitalen Zahlungsverkehr.
Ob Unternehmen den PCI-DSS einhalten, wird vom Payment Card Industry Security Standards Council (PCI SSC) überprüft. Es ist das Ziel, Kredit- und Debitkarten vor Datendiebstahl und Betrug zu schützen.
Der PCI SSC hat dafür mehrere technische und betriebliche Richtlinien implementiert. Wir kommen später in diesem Artikel darauf zurück.
Das PCI SSC hat keine rechtlichen Befugnisse und kann Unternehmen daher nicht zwingen, den Standard einzuhalten. Für die Online-Verarbeitung von Kredit- und Debitkartentransaktionen ist die PCI-DSS-Zertifizierung jedoch ein Muss.
Was ist eine PCI-DSS-Zertifizierung?
Die PCI-DSS-Zertifizierung garantiert die Sicherheit der Kartendaten in Ihrem Unternehmen. Sie erhalten die PCI-DSS-Zertifizierung, wenn Sie die Anforderungen des PCI-SSC erfüllen.
Die Anforderungen umfassen eine Reihe bewährter Methoden, wie:
❯ Installation von Firewalls;
❯ Übermittlung von Daten in verschlüsselter Form;
❯ Verwendung von Antiviren-Software ;
❯ Beschränkung des Zugriffs auf Karteninhaberdaten;
❯ Kontrolle des Zugangs zu Netzwerkressourcen.
Das Zertifikat zeigt, dass Ihr Unternehmen ein intensives Audit bestanden hat und dass Sie nachweislich strenge Maßnahmen zum Schutz der Karteninhaberdaten ergreifen.
Ist Ihr Unternehmen PCI-DSS-konform, dann zeigen Sie Ihren Kunden, dass sie mit Ihnen sichere Transaktionen durchführen können. Außerdem sind auch die mit der Nicht-Erfüllung der Anforderungen verbundenen Geldstrafen ein guter Grund, die Datensicherheit ernst zu nehmen.
Die PCI-Zertifizierung gilt als der beste Weg, sensible Daten zu schützen. Dies hilft Ihnen, eine langfristige, vertrauensvolle Beziehung zu Ihren Kunden aufzubauen.
Wie erhält man die PCI-DSS-Zertifizierung?
Das PCI SSC stellt zwölf Anforderungen an die Verarbeitung von Karteninhaberdaten und die Aufrechterhaltung eines sicheren Netzwerks. Sie sind auf sechs Ziele verteilt und sind alle gleich wichtig. Unternehmen müssen also alle Anforderungen erfüllen, um die PCI-DSS-Zertifizierung zu erhalten.
❯ Aufbau und Pflege eines sicheren Netzwerks
- Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten.
- Keine Verwendung von Standardwerten für Systempasswörter und andere vom Anbieter bereitgestellte Sicherheitsparameter.
❯ Schutz von Karteninhaberdaten
- Schutz der gespeicherten Karteninhaberdaten.
- Verschlüsselung der Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
❯ Umsetzung eines Programms zum Managen von Schwachstellen
- Verwendung von Antiviren-Software oder -programmen und deren regelmäßige Aktualisierung.
- Entwicklung und Wartung von sicheren Systemen und Anwendungen.
❯ Verwendung starker Zugriffsmethoden
- Beschränkung des Zugriffs auf Karteninhaberdaten nach dem Prinzip „Business Need to Know
- Zuweisung einer eindeutigen ID für jede Person, die Zugriff auf den Computer hat
- Beschränkung des physischen Zugangs zu Karteninhaberdaten
❯ Regelmäßige Überwachung und Prüfung der Netzwerke
- Den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten verfolgen und überwachen.
- Regelmäßige Überprüfung der Sicherheitssysteme und -verfahren.
❯ Eine Richtlinie für Informationssicherheit befolgen
- Wahrung einer Richtlinie, die die Informationssicherheit für alle Mitarbeiter regelt
Um das Zertifikat zu behalten, müssen Sie die Anforderungen jedes Jahr anhand einer Selbstbeurteilung nachweisen. Tun Sie dies nicht, müssen Sie als Unternehmen mit erheblichen Bußgeldern rechnen.
Bei PCI-konformen Organisationen ist die Wahrscheinlichkeit einer Datenverletzung durch einen Cyberangriff gering. Sollte Ihr Unternehmen dennoch betroffen sein, können Kartenprogramme Ihre PCI-Bußgelder erheblich reduzieren – sie können sogar erlassen werden. Sie müssen jedoch nachweisen, dass Sie alles getan haben, um PCI-DSS-konform zu sein.
SimpledCard und der Sicherheitsstandard PCI-DSS
Wie bereits erwähnt, entspricht SimpledCard dem PCI-DSS-Standard. Und damit auch den Anforderungen, die die wichtigsten Kreditkartenunternehmen an Prozesse, Verfahren und die sichere Speicherung von Karteninhaberdaten stellen.
Was tun wir genau? Im Folgenden einige Beispiele:
❯ Wir verwenden keine voreingestellten Benutzernamen oder Passwörter und vermeiden jederzeit Standardeinstellungen.
❯ Stetige Verwendung von sicheren Passwörtern und eindeutigen Benutzer-IDs. Die Passwörter sollten mindestens sieben Zeichen (Zahlen, Buchstaben und Sonderzeichen) enthalten.
❯ Unsere Software ist immer auf dem neuesten Stand und darüber informieren wir unsere Mitarbeiter und Kunden.
Als SimpledCard-Kunde können Sie daher sicher sein, dass Ihre Daten verschlüsselt gespeichert werden und Sie Ihre Transaktionen sicher durchführen können. Auf diese Weise bauen wir langfristige Partnerschaften mit unseren Kunden auf, die auf Vertrauen basieren.
Haben Sie weitere Fragen zu PCI-DSS? Wenden Sie sich bitte an unser Finanzexperten-Team, sie beantworten alle Ihre Fragen zu PCI-DSS, zur PCI-DSS-Zertifizierung oder zu anderen Themen.
Von SimpledCard
Bleiben Sie auf dem Laufenden
Unsere neuesten Blogartikel, Geschäftsentwicklungen und Finanznachrichten. Direkt in Ihren Posteingang.
vertrieb@simpledcard.com
Putzbrunner Str. 71-73
