Computer

Was ist PCI-Compliance? Ein Leitfaden zum Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)

(Bildnachweis: Zukunft)

Im Laufe der Jahre entwickelt PCI DSS seine Richtlinien weiter, um Händler und Verbraucher besser vor Diebstahl von Kreditkartendaten zu schützen.



PCI-DSS-Compliance sollte für Sie als Händler oberste Priorität haben, da die Absicherung des Kundenzahlungsprozesses zu einem erfolgreichen Kundenverkauf führen kann.

Ist PCI-Compliance gesetzlich vorgeschrieben?

(Bildnachweis: Tingey Injury Law Firm über Unsplash)

Nein, PCI DSS-Compliance ist ein behördlicher Standard, kein Gesetz.

Die rechtlichen Konsequenzen und finanziellen Sanktionen bei Nichteinhaltung des Standards, insbesondere im Falle einer Datenschutzverletzung, können jedoch gewichtig sein.

IT-Governance berichten, dass Unternehmen, die nicht die Vorschriften der EU-DSGVO einhalten, im Falle eines Diebstahls oder einer Netzwerkverletzung „bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes [Ihres Unternehmens“ – je nachdem, welcher Betrag höher ist – rechnen müssen.

Was passiert, wenn mein Unternehmen nicht PCI-konform ist? Muss mein Unternehmen PCI-konform sein?

Wenn ein Unternehmen nicht PCI DSS-konform ist, haftet es für jeden Betrug, der in seiner Organisation stattfindet. Händler könnten bei Sicherheitsverletzungen Tausende von Geldstrafen zahlen und die Kundenloyalität gefährden.

Samsung Gear S3 Erscheinungsdatum Verizon

Zusätzliche Verbindlichkeiten können sein:

  • Geldstrafen von mehr als 100.000,00 USD pro Monat, bis der Händler die Anforderungen erfüllt
  • Alle Betrugsverluste aus den kompromittierten Konten
  • Kreditüberwachungsgebühren, Gerichtsverfahren und mehr von Landes- und Bundesregierungen
  • Kosten für die Neuausstellung gestohlener Karten
  • Kosten für zukünftige Präventionsmaßnahmen
  • Und mehr…

PCI DSS bietet Händlern detaillierte Richtlinien, um den Compliance-Prozess überschaubar und erfolgreich zu gestalten. Zunächst müssen Händler eine jährliche PCI-Selbstbewertungsfragebogen .

Ihre Verantwortung hängt von der Bruttoanzahl der Visa-, Mastercard- oder Discover-Transaktionen ab, die innerhalb Ihres Händlerkontos verarbeitet werden.

Fragen für die Bewertung können sein: Was machst du mit Quittungen? Speichern Sie Kartendaten in irgendeiner Form – und wenn ja, werden sie auf Papier geschrieben oder elektronisch gespeichert? Und andere, um das geeignete Niveau für den Händler festzulegen. In der Regel wird dem Händler ein Zahlungsabwicklungsberater zugewiesen, der bei Fragen oder Bedenken behilflich ist.

Was sind PCI-Anforderungen?

Die Einhaltung der PCI-DSS-Anforderungen trägt dazu bei, das Vertrauen der Kunden zu stärken, wenn sie für Ihre Dienste bezahlen.(Bildnachweis: Oscar Wong über Getty Images)

Es gibt 12 offizielle PCI-DSS-Anforderungen . Wir haben diese in sechs Punkte zusammengefasst, die jeweils unten aufgeführt sind.

Zusammengefasste PCI-Sicherheitsanforderungen

1. Bauen und pflegen Sie ein sicheres Netzwerk mit einer Firewall und durchdachten Passwörtern

2. Schützen Sie Karteninhaberdaten an einem sicheren Ort, verschlüsseln Sie Daten über offene Netzwerke

3. Integrieren Sie Antivirensoftware und entwickeln Sie sichere Systeme zum Schutz vor Schwachstellen

4. Erlauben Sie nur eingeschränkten, vertrauenswürdigen Parteien den Zugriff auf Karteninhaberdaten, weisen Sie Personen mit Zugriff eindeutige IDs zu und beschränken Sie den physischen Zugriff auf Daten

5. Führen Sie regelmäßige System- und Netzwerktests durch und ändern Sie Passwörter häufig

6. Erstellen Sie eine Sicherheitsrichtlinie für Mitarbeiter und Partner

' data-widget-type='deal' data-render-type='editorial'> Kondensierte PCI-Sicherheitsanforderungen 1. Erstellen und pflegen Sie ein sicheres Netzwerk mit einer Firewall und durchdachten Passwörtern 2. Schützen Sie Karteninhaberdaten an einem sicheren Ort, verschlüsseln Sie Daten über offene Netzwerke 3. Integrieren Sie Antivirensoftware und entwickeln Sie sichere Systeme zum Schutz vor Schwachstellen 4. Erlauben Sie nur eingeschränkten, vertrauenswürdigen Parteien den Zugriff auf Karteninhaberdaten, weisen Sie Personen mit Zugriff eindeutige IDs zu und beschränken Sie den physischen Zugriff auf Daten 5. Implementieren Sie ein reguläres System und Netzwerktests sowie häufiges Ändern von Passwörtern 6. Erstellen Sie eine Sicherheitsrichtlinie für Mitarbeiter und Partner

Zusammengefasste PCI-Sicherheitsanforderungen

1. Bauen und pflegen Sie ein sicheres Netzwerk mit einer Firewall und durchdachten Passwörtern

2. Schützen Sie Karteninhaberdaten an einem sicheren Ort, verschlüsseln Sie Daten über offene Netzwerke

3. Integrieren Sie Antivirensoftware und entwickeln Sie sichere Systeme zum Schutz vor Schwachstellen

4. Erlauben Sie nur eingeschränkten, vertrauenswürdigen Parteien den Zugriff auf Karteninhaberdaten, weisen Sie Personen mit Zugriff eindeutige IDs zu und beschränken Sie den physischen Zugriff auf Daten

5. Führen Sie regelmäßige System- und Netzwerktests durch und ändern Sie Passwörter häufig

6. Erstellen Sie eine Sicherheitsrichtlinie für Mitarbeiter und Partner

Welche PCI-Stufe gilt für mein Unternehmen?

(Bildnachweis: Kiyoshi Hijiki über Getty Images)

Die Art der PCI-Compliance, mit der Sie sich befassen, hängt ausschließlich davon ab, wie viele Transaktionen Sie verarbeiten.

Sie wissen dann, ob Sie Level 1, 2, 3 oder 4 der PCI-DSS-Compliance einhalten müssen. Dies gilt unabhängig davon, ob Sie ein Online-Händler sind oder ein physisches Schaufenster haben. Wir werfen einen genaueren Blick auf die verschiedenen Ebenen unten.

PCI-Konformitätsstufen
PCI-Konformität der Stufe 1PCI-Konformität der Stufe 2PCI-Konformität der Stufe 3PCI-Konformität der Stufe 4
Anwendbar, wenn Sie verarbeiten:Über 6 Millionen Kartentransaktionen jährlich1 bis 6 Millionen Transaktionen jährlich20.000 bis 1 Million Transaktionen jährlichWeniger als 20.000 Transaktionen pro Jahr
Zu ergreifende MaßnahmenExterner Prüfer muss Unternehmensbewertung durchführenAusfüllen eines Fragebogens zur Selbsteinschätzung (SAQ)Ausfüllen eines Fragebogens zur Selbsteinschätzung (SAQ)Ausfüllen eines Fragebogens zur Selbsteinschätzung (SAQ)

Wenn Ihr Unternehmen mehr als sechs Millionen Transaktionen pro Jahr abschließt, muss ein externer Wirtschaftsprüfer eine Geschäftsbewertung durchführen. Dies soll das Geschäft unterstützen, Orientierung bieten und sehen, wie gut es die PCI-Compliance-Standards erfüllt. Der Auditor legt einen Report on Compliance (RoC) vor.

PCI-DSS-Mythen entlarvt

Der PCI Security Standards Council hat eine fantastische Liste von Mythen über PCI DSS zusammengestellt, die Unternehmen abschrecken. Ein beliebter ist, dass er zu schwer einzurichten ist. Darüber hinaus haben wir im Folgenden auf andere Mythen Bezug genommen, damit Sie den Branchenklatsch unterdrücken und ohne Zweifel PCI-konform werden.

Wischen Sie einfach durch das Foliendeck, indem Sie die Pfeile auf beiden Seiten der Folie verwenden.

Bild 1 von 17

(Bildnachweis: Zukunft)

Bild 2 von 17

(Bildnachweis: Zukunft)

Wenn Ihre Kunden Ihre Dienste mit Bargeld oder einer Kredit- oder Debitkarte bezahlen, sollten Sie PCI DSS-konform sein.

Bild 3 von 17

(Bildnachweis: Zukunft)

Falsch! PCI gilt für alle Unternehmen, die eine Zahlung verlangen.

Bild 4 von 17

(Bildnachweis: Zukunft)

Nicht wahr. Sie müssen die vollständigen Kriterien erfüllen.

Bild 5 von 17

(Bildnachweis: Zukunft)

Sie müssen alle zahlungsbezogenen Kundendaten schützen.

Bild 6 von 17

(Bildnachweis: Zukunft)

Dies ist falsch, Sie müssen unabhängig von der Unternehmensgröße konform sein.

Bild 7 von 17

(Bildnachweis: Zukunft)

Nein, völlig falsch...

Bild 8 von 17

(Bildnachweis: Zukunft)

Sehr schlechte Idee. Ihr Unternehmen ist anfällig für zusätzliche Strafen, wenn Sie auf dieses oder ein anderes Signal warten, das Sie befolgen müssen.

Bild 9 von 17

(Bildnachweis: Zukunft)

Falsch.

Bild 10 von 17

(Bildnachweis: Zukunft)

Sehr ungenau und potenziell illegal, wenn Sie Kundendaten ohne Zustimmung speichern. Als Händler sollten Sie nicht speichern:


Bild 11 von 17

(Bildnachweis: Zukunft)

Nicht wahr.

Bild 12 von 17

(Bildnachweis: Zukunft)

Es liegt in Ihrer Verantwortung, sicherzustellen, dass Ihr Unternehmen PCI DSS-konform ist. Überlassen Sie es nicht einem anderen Unternehmen oder dem Zufall.

Bild 13 von 17

(Bildnachweis: Zukunft)

Die PCI-Compliance betrifft jeden Unternehmensbereich, denn die Geldstrafen, die Sie bei Nichteinhaltung erhalten können, bedeuten, dass jeder Unternehmensbereich Geld verliert.

Bild 14 von 17

(Bildnachweis: Zukunft)

Bis zu einem gewissen Grad ja, aber es ist nicht hackersicher.

Bild 15 von 17

(Bildnachweis: Zukunft)

Unwahr.

Bild 16 von 17

(Bildnachweis: Zukunft)

Möglicherweise benötigen Sie einen externen Prüfer, dies hängt jedoch von der Anzahl der Transaktionen ab, die Sie pro Jahr bearbeiten. Also, vielleicht abhängig von Ihrem Geschäft.

Bild 17 von 17

(Bildnachweis: Zukunft)

Siehe Mythos Nr. 9.

Welche Beziehung besteht zwischen PCI DSS und EMV-Compliance?

(Bildnachweis: Pexels)

PCI DSS ist eine Reihe von Sicherheitsstandards, die zusammen mit der EMV-Technologie implementiert werden. Inzwischen ist EMV integriert, um Betrug zu verhindern. Lesen Sie unseren vollständigen Leitfaden zu Was ist EMV?

Abschließende Gedanken

Obwohl die PCI-Compliance Händlern die Möglichkeit gibt, die richtigen Schritte zu unternehmen, um ihr Geschäft und ihre Kunden vor Betrug zu schützen, ist sie nicht hackersicher. Geschäftsinhaber sollten darauf achten, nach anderen Sicherheitsebenen zu suchen, die Kundendaten schützen.

Wenn man sich die vergangenen Jahre ansieht, sind die problematischsten Bereiche, die Händler mit Anforderungen haben, Sicherheitssystemprozesse und -tests, Sicherheitsrichtlinien und -management sowie die Wartung sicherer Systeme.

Schließlich müssen Unternehmer handeln und in die Zukunft denken. Als Gesellschaft steckt unser digitaler Fußabdruck noch in den Kinderschuhen und mit der technologischen Weiterentwicklung muss auch die Sicherheit Händler und Verbraucher schützen. Lösungen können einen großen Unterschied machen, wenn intelligente Prozesse und Strategien im Zusammenspiel umgesetzt werden.

Mit über 13 Jahren Erfahrung in den Bereichen Marketing, Public Relations und Non-Profit ist Erin eine engagierte Text- und Content-Autorin, digitale Designerin, strategische Planerin und Rednerin. Im Laufe ihrer Karriere hat Erin mehrere Teams geleitet und so gemeinnützigen und gewinnorientierten Organisationen Verkaufs- und Marketingerfolge verschafft. Sie bringt einfühlsame, hingebungsvolle Führung in das Team ein, treibt Wachstum durch taktisches Denken und eine vollendete Arbeitsmoral an.

Weitere Computernachrichten anzeigen