Payment Card Industry Data Security Standard

Payment Card Industry Data Security Standard

Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Die Einhaltung der Regeln wird üblicherweise in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

  • Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als "Level 1" eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.
  • Händler, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen (Self-Assessment Questionnaire, SAQ)) ausfüllen.
  • E-Commerce Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln (Level 3 und 4), müssen ab dem 1. Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachweisen. (Visa Member Letter VE 33/08 vom 24. September 2008)

Version

Die aktuelle Version des PCI-DSS ist: V2.0 vom Oktober 2010.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужна курсовая?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Payment Card Industry Data Security Standard — The Payment Card Industry Data Security Standard (PCI DSS) is an information security standard for organizations that handle cardholder information for the major debit, credit, prepaid, e purse, ATM, and POS cards. Defined by the Payment Card… …   Wikipedia

  • Payment card industry — The payment card industry (PCI) denotes the debit, credit, pre paid, e purse, ATM, and POS cards and associated businesses.The term is sometimes more specifically used to refer to the Payment Card Industry Security Standards Council, an… …   Wikipedia

  • Payment Card Industry — Le Payment Card Industry (PCI) est le secteur économique des moyens de paiement par carte. Le PCI Security Standards Council (PCI SSC) est une instance de ce secteur économique qui émet des recommandations de sécurité sur les paiements par carte …   Wikipédia en Français

  • Certified Payment-Card Industry Security Manager — (CPISM) is an independent payments industry certification governed by the Society of Payment Security Professionals (commonly known as the SPSP). The CPISM is the de facto certification for payment security professionals. This certification is… …   Wikipedia

  • Card security code — The Card security code is located on the back of MasterCard, Visa and Discover credit or debit cards and is typically a separate group of 3 digits to the right of the signature strip …   Wikipedia

  • Card Validation Code — Der Card Validation Code (CVC) (auch Card Verification Value (CVV), Card Security Code (CSC) oder Kartenprüfnummer (KPN)) ist ein Sicherheitsmerkmal auf Kreditkarten. Die Prüfnummer soll die Nutzung von gefälschten oder gestohlenen… …   Deutsch Wikipedia

  • Data erasure — (also called data clearing or data wiping) is a software based method of overwriting data that completely destroys all electronic data residing on a hard disk drive or other digital media. Permanent data erasure goes beyond basic file deletion… …   Wikipedia

  • Information security — Components: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are decomposed in three main portions, hardware, software and communications with the purpose to identify and apply information security… …   Wikipedia

  • Smart card — This article is regarding smart cards that use electrical connectors to transmit data. For smart cards that use radio see contactless smart card Contact type smart cards may have many different contact pad layouts, such as these SIMs A smart card …   Wikipedia

  • Cyber security standards — are security standards which enable organizations to practice safe security techniques to minimize the number of successful cyber security attacks. These guides provide general outlines as well as specific techniques for implementing cyber… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”