PCI DSS

PCI DSS

Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Die Einhaltung der Regeln wird üblicherweise in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

  • Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als "Level 1" eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.
  • Händler oder Dienstleister, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen Ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen ausfüllen.
  • Händler oder Dienstleister, die weniger als 20.000 Kreditkartentransaktionen im Jahr abwickeln, müssen zwar die Regelungen erfüllen, eine Prüfung ist aber nicht obligatorisch, wird jedoch empfohlen.


Version

Die aktuelle Version des PCI-DSS ist: V1.2. vom Oktober 2008.

Quellen


Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • PCI DSS — stands for Payment Card Industry Data Security Standard. It was developed by the major credit card companies as a guideline to help organizations that process card payments prevent credit card fraud, hacking and various other security… …   Wikipedia

  • PCI DSS — PCI DSS, en su idioma nativo (Inglés): Payment Card Industry Data Security Standard, significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estándar ha sido desarrollado por un comité conformado por las compañías de… …   Wikipedia Español

  • PCI DSS — PCI DSS (Payment Card Industry Data Security Standard)  стандарт безопасности данных, разработанный Советом по стандартам безопасности (The PCI Security Standards Council) для систем платежных карт.The PCI Security Standards Council это открытый… …   Банковская энциклопедия

  • PCI DSS — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Payment Card Industry Data Security Standard (PCI DSS) стандарт безопасности данных индустрии платёжных карт, разработ …   Википедия

  • PCI-DSS — …   Википедия

  • PCI (значения) — PCI (англ. Peripheral Component Interconnect) компьютерная шина. PCI DSS стандарт безопасности данных в карточных платёжных системах (Payment Card Industry Data Security Standard), часто используется сокращённая форма аббревиатуры PCI. PCI… …   Википедия

  • DSS — can refer to: Government and politics Diplomatic Security Service, an agency in the U.S. Department of State Defense Security Service, an agency in the U.S. Department of Defense Domestic Security Section, part of the Criminal Division of the U.S …   Wikipedia

  • PCI — steht für: Peripheral Component Interconnect (PCI Bus), ein Bus Standard zur Verbindung von Peripheriegeräten mit dem Chipsatz eines Prozessors Partito Comunista Italiano, der italienische Name der Kommunistischen Partei Italiens bis zu ihrer… …   Deutsch Wikipedia

  • PA-DSS — The Payment Application Data Security Standard (PA DSS), formerly referred to as the Payment Application Best Practices (PABP), is the global security standard created by the Payment Card Industry Security Standards Council (PCI SSC). [1] PA DSS… …   Wikipedia

  • PA-DSS — Payment Application Data Security Standard (PA DSS) стандарт безопасности платежных приложений в индустрии платежных карт, разработанный Советом PCI SSC. Официальным аудитором в России и странах СНГ по данному стандарту является компания Digital… …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”