PCI-Compliance

Wichtige Erkenntnisse

• PCI-Compliance hilft, Kreditkartendaten zu schützen und den Ruf eines Unternehmens zu verbessern.
• Der PCI Security Standards Council entwickelt und verwaltet die PCI Data Security Standards.
• Die Einhaltung der PCI-Compliance verringert das Risiko von Datenverstößen und damit verbundenen Geldstrafen.
• PCI DSS beschreibt 12 wesentliche Anforderungen zur Sicherung von Karteninhaberdaten.
• Nicht-Einhaltung kann zu Geldstrafen von bis zu 500.000 US-Dollar und möglichem Verlust der Kartenverarbeitungsfähigkeit führen.

Was ist PCI-Compliance?

Kreditkartenunternehmen schreiben die Einhaltung der Payment Card Industry (PCI)-Compliance vor, um die Sicherheit von Kreditkartentransaktionen in der Zahlungsbranche zu gewährleisten. Die Einhaltung der Zahlungskartenindustrie-Compliance bezieht sich auf die technischen und operativen Standards, die Unternehmen befolgen, um Kreditkartendaten zu sichern und zu schützen, die von Karteninhabern bereitgestellt und über Kartenverarbeitungstransaktionen übertragen werden.

Die PCI-Compliance-Standards werden vom PCI Security Standards Council entwickelt und verwaltet. Die Einhaltung der PCI-Compliance erfordert die Befolgung von 12 Schritten und kann Unternehmen helfen, den Markenruf zu verbessern und rechtliche Geldstrafen zu vermeiden.

Warum PCI-Compliance für Unternehmen entscheidend ist

Die Federal Trade Commission (FTC) ist für die Überwachung der Kreditkartenabwicklung zuständig, da diese unter den Bedarf an Verbraucherschutz und Aufsicht fällt. Obwohl PCI-Compliance nicht unbedingt eine regulatorische Vorschrift ist, gilt sie aufgrund der Rechtsprechung als verbindlich.

Im Allgemeinen ist die PCI-Compliance ein Kernbestandteil des Sicherheitsprotokolls jedes Kreditkartenunternehmens. Sie wird in der Regel von Kreditkartenunternehmen vorgeschrieben und in Kreditkartennetzwerkvereinbarungen behandelt.

Der PCI Standards Council entwickelt Standards für die PCI-Compliance, die für die Händlerabwicklung und verschlüsselte Internettransaktionen gelten. Zu den weiteren Schlüsselakteuren in den Standards der Kreditkartenbranche gehören The Card Association Network und NACHA.

Wichtige Anforderungen zur Erreichung der PCI-Compliance

Die PCI-Compliance-Standards verlangen von Unternehmen, Kreditkarteninformationen sicher zu handhaben, um das Risiko von Datendiebstahl zu verringern. Die Nichteinhaltung der PCI-Standards kann dazu führen, dass Kreditkarteninformationen gehackt und betrügerisch verwendet werden. Darüber hinaus könnten sensible Informationen über den Karteninhaber für Identitätsbetrug genutzt werden.

PCI-Compliance bedeutet die konsequente Einhaltung einer Reihe von Richtlinien, die vom PCI Standards Council festgelegt wurden. Die PCI-Compliance wird vom PCI Standards Council geregelt, einer Organisation, die 2006 gegründet wurde, um die Sicherheit von Kreditkarten zu verwalten.

Die vom Council entwickelten Anforderungen sind als Payment Card Industry Data Security Standards (PCI DSS) bekannt. PCI DSS umfasst 12 wesentliche Anforderungen, 78 Basisanforderungen und über 400 Testverfahren.1

Schritte zur Erreichung der PCI-Compliance

Um den PCI-Richtlinien zu entsprechen, müssen Händler und Unternehmen Sicherheitsschritte befolgen. Die 12 Hauptschritte umfassen Folgendes:

Implementieren Sie Firewalls zum Schutz der Daten

Angemessener Passwortschutz (z. B. 2FA)

Schützen Sie Karteninhaberdaten

Verschlüsselung übertragener Karteninhaberdaten

Verwenden Sie Antiviren- und Anti-Malware-Software

Aktualisieren Sie Software und warten Sie Sicherheitssysteme regelmäßig

Beschränken Sie den Zugriff auf Karteninhaberdaten

Eindeutige IDs für Personen mit Zugriff auf Daten

Beschränken Sie den physischen Zugriff auf Datenspeicher

Erstellen und überwachen Sie Zugriffsprotokolle

Testen Sie Sicherheitssysteme regelmäßig

Erstellen Sie eine Richtlinie, die dokumentiert ist und befolgt werden kann

Die aktuellste Version von PCI DSS wurde im März 2022 veröffentlicht und wird als Version 4.0 bezeichnet. Insgesamt beschreiben die sechs Ziele und 12 Anforderungen eine Reihe von Schritten, die Kreditkartenabwickler kontinuierlich befolgen müssen. Unternehmen werden zunächst aufgefordert, ihre Netzwerke und Systeme in Bezug auf Informationstechnologie-Infrastruktur, Geschäftsprozesse und Kreditkartenabwicklungsverfahren zu bewerten.1

Vorteile der Übernahme der PCI-Compliance

Die ständige Wartung und Bewertung von Sicherheitslücken ist ebenfalls sehr wichtig, um den Diebstahl sensibler Karteninhaberinformationen wie Sozialversicherungs- und Führerscheinnummern wann immer möglich zu vermeiden.

Unternehmen müssen im Rahmen ihrer Kartenabwicklungsvereinbarungen regelmäßig Compliance-Berichte vorlegen. Überwachung, Bewertungen und Audits der Payment Card Industry Data Security Standards sind ein wichtiger Bestandteil der Sicherheitsabteilung eines Unternehmens.

Unternehmen, die Kreditkarteninformationen verarbeiten, müssen gemäß ihren Abwicklungsvereinbarungen die PCI-Compliance aufrechterhalten. Die PCI-Compliance ist der Industriestandard, und deren Nichteinhaltung kann zu hohen Geldstrafen führen. Ohne PCI-Compliance sind Unternehmen einem höheren Risiko von Diebstahl, Betrug und Datenverstößen ausgesetzt.

88%

Der Prozentsatz der Cybersicherheitsverstöße, die durch menschliches Versagen verursacht werden.2

Compliance reduziert das Risiko von Datenverstößen, schützt Karteninhaberdaten und hilft, Identitätsdiebstahl zu verhindern. Compliance verringert die Wahrscheinlichkeit von Geldstrafen, stärkt den Markenruf und schafft Kundenvertrauen, was zu Loyalität führt.

In der ersten Hälfte des Jahres 2024 wurden durch Datenverstöße 7 Milliarden Datensätze offengelegt. Laut einer Sicherheitsuntersuchung von 2023 waren 97% der Verstöße finanziell motiviert. Angesichts des globalen Marktes für Informationssicherheit, der bis 2030 voraussichtlich 425 Milliarden US-Dollar erreichen wird, ist das finanzielle Risiko noch höher. Der Schutz von Karteninhaberdaten ist nicht nur gut für das Geschäft, sondern auch das Richtige, um sicherzustellen, dass Menschen nicht negativ geschädigt werden oder finanzielle Verluste erleiden.2

Risiken und Folgen der Missachtung der PCI-Compliance

PCI-Compliance ist obligatorisch, wenn Sie oder Ihr Unternehmen mit Kreditkartentransaktionsinformationen umgehen. Neben dem erhöhten Risiko eines Datenverstoßes können Sie auch mit Geldstrafen, Sanktionen und dem Verlust der Fähigkeit, in Zukunft Kreditkartendaten zu verarbeiten, belegt werden. Banken und Zahlungsunternehmen können sich auch dafür entscheiden, keine Geschäfte mit Ihnen zu tätigen, es sei denn, Sie sind PCI-konform. Dies kann zu Umsatzeinbußen und einem beschädigten Markenimage führen.

Geldstrafen bei Nichteinhaltung können bis zu 500.000 US-Dollar pro PCI-Datensicherheitsvorfall oder -verstoß betragen.3 Darüber hinaus müssen alle Personen, deren Informationen möglicherweise kompromittiert wurden, schriftlich benachrichtigt werden, um auf betrügerische Belastungen aufmerksam zu sein.

Fallstudien: PCI-Compliance und Datenverstöße

PCI-Compliance hilft, betrügerische Aktivitäten zu vermeiden und Datenverstöße zu mildern. Verizon bietet eine jährliche Bewertung der Zahlungssicherheit in seinem „Verizon Payment Security Report“. Der Bericht von 2022 widmet einen ganzen Abschnitt dem PCI DSS mit dem Titel „The state of PCI DSS compliance, key findings“. Einige PCI DSS-Highlights aus dem „Verizon 2022 Payment Security Report“ umfassen Folgendes:

43,4% der Organisationen haben im Jahr 2020 aktiv PCI DSS-Programme aufrechterhalten.

Die Compliance in der Region Asien-Pazifik stieg, teilweise aufgrund erhöhter Datenmeldungen.

Was bedeutet PCI-konform?

PCI-konform bedeutet, dass jedes Unternehmen oder jede Organisation, das/die private Daten von Karteninhabern akzeptiert, überträgt oder speichert, die vom PCI Security Standard Council festgelegten Sicherheitsmaßnahmen einhält, um sicherzustellen, dass die Daten sicher und privat bleiben.

Ist PCI-Compliance gesetzlich vorgeschrieben?

Es gibt keine regulatorische Vorschrift, die PCI-Compliance vorschreibt, aber sie gilt dennoch aufgrund der Rechtsprechung als verbindlich.

Wie werde ich PCI-konform?

Um PCI-konform zu werden, müssen Sie zunächst festlegen, welchen Selbstbewertungsfragebogen Sie zur Erlangung der Konformität befolgen müssen. Sobald Sie den Fragebogen ausgefüllt haben, müssen Sie den Nachweis eines bestandenen Sicherheitslücken-Scans durch einen vom PCI SSC zugelassenen Scan-Anbieter abschließen und vorlegen. Das Scannen gilt nur für einige Händler. Anschließend müssen Sie die Konformitätserklärung ausfüllen. Der letzte Schritt besteht darin, alle oben genannten Informationen einzureichen.4

Wer muss PCI-konform sein?

Jedes Unternehmen oder jede Organisation, das/die private Daten von Karteninhabern akzeptiert, überträgt oder speichert.