PCI DSS – Anforderungen und Nachweispflicht

usd AG News, PCI Security Services

In unserer Miniserie liefern wir Ihnen Wissenswertes zum Payment Card Industry Data Security Standard. Starten Sie gut informiert in Ihre PCI-DSS-Zertifizierung.


Was sind die Anforderungen des PCI DSS?

Der PCI DSS umfasst insgesamt 6 Kontrollziele, die sich in 12 Hauptanforderungen mit insgesamt 329 Einzelanforderungen aufgliedern. Den vollständigen Standard mit allen Einzelanforderungen können Sie auf der Webseite des PCI Security Standards Council einsehen. Die Anforderungen sind sowohl technischer als auch organisatorischer und dokumentarischer Natur.

Kontrollziele & zugehörige Hauptanforderungen

  1. Aufbau und Betrieb eines sicheren Netzwerks
    1) Betrieb einer Firewall-Umgebung
    2) Vermeidung von herstellerspezifischen Standards für Systempasswörter und andere Sicherheitseinstellungen
  2. Schutz der Kreditkartendaten
    3) Schutz gespeicherter Kreditkartendaten
    4) Verschlüsselte Übermittlung von Kreditkarten- und anderen sensiblen Informationen über öffentliche Netzwerke
  3. Management von Schwachstellen
    5) Benutzung und regelmäßige Aktualisierung von Antivirus-Software
    6) Entwicklung und Pflege sicherer Systeme und Anwendungen
  4. Starker Zugriffsschutz
    7) Beschränkung des Zugriffs auf Daten nach dem Need-to-know-Prinzip
    8) Zuordnung einer individuellen User-ID an Personen mit IT-Zugriff
    9) Beschränkung des physischen Zugriffs auf Kreditkarteninformationen
  5. Regelmäßige Prüfung und Test des Netzwerks
    10) Überwachung und Nachverfolgung jeglicher Zugriffe auf Netzwerkressourcen und Kreditkartendaten
    11) Regelmäßige Tests der Sicherheitssysteme und –prozesse
  6. Pflege einer Informationssicherheitsrichtlinie
    12) Pflege einer Richtlinie für die Informationssicherheit

In vielen Fällen von Kreditkartendiebstahl wird im Nachgang festgestellt,
dass eine oder mehrere der PCI DSS-Anforderungen nicht umgesetzt wurden. Zahlreiche Untersuchungen haben ergeben, dass über 75 % aller Angriffe durch relativ einfache Maßnahmen und geringen (finanziellen) Aufwand hätten vermieden werden können.

Die Einhaltung aller PCI DSS-Anforderungen (Compliance) gewährleistet nicht nur ein spürbar höheres Sicherheitsniveau in Ihrem gesamten Unternehmen, sondern verhilft Ihnen auch zu folgenden Vorteilen:

  • Sie können Risiken bei der Verarbeitung von Kreditkarten- und sonstigen Kundendaten identifizieren
  • Sie zeigen Ihren Kunden, dass Sie die Sicherheit ihrer Daten ernst nehmen
  • Sie verbessern Ihren Schutz vor finanziellen Haftungsrisiken, Rechtskosten und Kosten zur Beweissicherung
  • Sie vermeiden negative Presse

Wer muss die Anforderungen des PCI DSS erfüllen?

Jedes Unternehmen, das Kreditkartendaten speichert, verarbeitet, oder überträgt, muss die Anforderungen des PCI DSS erfüllen und dies einmal jährlich nachweisen.

Sie speichern, verarbeiten oder übertragen Kreditkartendaten, wenn Sie vollständige Nummern oder Gültigkeitsdaten von Kreditkarten Ihrer Kunden auf Ihren IT-Systemen empfangen, um sie selbst vorzuhalten oder an Dritte weiterzuleiten. Die zeitliche Dauer der Verarbeitung (kurzfristige oder langfristige Speicherung, Verarbeitung oder Weiterleitung) sowie die Verschlüsselung der Daten spielt dabei keine Rolle. Entscheidend ist der Empfang von kundenspezifischen Kreditkartendaten auf Ihren IT-Systemen.

Wie weise ich nach, dass ich die Anforderungen des PCI DSS erfülle?

Die Nachweispflicht gilt grundsätzlich für jedes Unternehmen, unabhängig von dessen Größe und der jährlichen Anzahl an getätigten Kreditkartentransaktionen. Lediglich die Stärke und der Umfang der Prüfmethoden, mit denen ein Unternehmen die Einhaltung des PCI DSS nachweisen muss, ändert sich auf Basis des jährlichen Transaktionsvolumens:

Kleine und mittelständische Handelsunternehmen und Service Provider können ihre PCI Compliance in der Regel durch eine Selbstauskunft nachweisen. Hierzu müssen sie aus einer Reihe unterschiedlicher Selbstauskunftsfragebögen (SAQ) den für ihr Unternehmen passenden auswählen und wahrheitsgetreu ausfüllen.

Große Handelsunternehmen und Service Provider müssen ihre PCI Compliance in der Regel durch eine umfangreiche Vor-Ort-Prüfung (Assessment) nachweisen, die durch einen vom PCI Council akkreditierten Qualified Security Assessor durchgeführt werden muss.


Haben Sie Fragen zu den Anforderungen des PCI DSS oder zu Ihrem PCI DSS-Compliance-Nachweis? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.