Bei dem Payment Card Industry Data Security Standard handelt es sich nämlich um bestimmte Anforderungen an ein sicheres Übertragen, Verarbeiten und Speichern von Kreditkartendaten. Eine entsprechende Zertifizierung aller beteiligten Unternehmen – sowohl des Shops als auch des Hosters – signalisiert den Kunden, dass ihre sensiblen Daten sicher sind.
Die großen Kreditkartenanbieter American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. haben sich zu einem offenen Forum zusammengeschlossen. Dieses nennt sich Payment Card Industry (PCI) Standard Security Council. Sein erklärtes Ziel ist die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten. Durch Informationen, Weiterbildung und Aufklärung über die PCI Security Standards erhöht die Organisation die Sicherheit von Zahlungs- und Kontodaten.
Der PCI-DSS-Katalog in der aktuellen Version 3.2 definiert die Anforderungen bezüglich der sicheren Übertragung, Speicherung und Verarbeitung der Kreditkartendaten. Er fordert sehr konkrete Maßnahmen zur Umsetzung, die von Betreibern eines Cardholder Data Environments (CDE) eingehalten werden sollten. Dabei können Verstöße eines CDE-Betreibers gegen den PCI Data Security Standard zu Strafgebühren und Einschränkungen bis hin zur Ablehnung von Kreditkarten-Transaktionen führen.
Der PCI DSS in Version 3.2 besteht aus 12 Kapiteln:
- Installation und Pflege einer Firewall zum Schutz der Daten
- Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
- Schutz der gespeicherten Daten von Kreditkarteninhabern
- Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
- Einsatz und regelmäßiges Update von Virenschutzprogrammen
- Entwicklung und Pflege sicherer Systeme und Anwendungen
- Einschränken von Datenzugriffen auf das Notwendige
- Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
- Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
- Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
- Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
- Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
Die PCI-DSS-Zertifizierung
CDE-Betreiber können den Betrieb einer kreditkartenverarbeitenden Umgebung zertifizieren lassen. Sie erhalten dann ein Logo für ihre Website, um den sicheren Umgang mit Kreditkartendaten gegenüber ihren Kunden aufzuzeigen. Jedoch müssen dazu alle für das jeweilige CDE relevanten Anforderungen erfüllt werden. Sei es durch den CDE-Betreiber oder entsprechende Subdienstleister wie den Infrastruktur-Anbieter.
Aus diesem Grund empfiehlt es sich, auf die Wahl der Subdienstleister zu achten, wenn man eine PCI-DSS-zertifizierte Website anstrebt . Mit bereits vorhandenen Zertifizierungen der Subdienstleister kann dabei die eigenen Zertifizierung schneller und kostengünstiger erreicht werden. Zudem ist es möglich, den Zertifizierungs-Scope durch einen entsprechenden Aufbau der Umgebung und der darauf betriebenen Applikation klein zu halten.
Bewertung des PCI DSS für den Online-Handel
PCI-DSS-konforme Cloud
