Was ist PCI DSS?
PCI DSS, oder der Datensicherheitsstandard der Zahlungskartenindustrie, ist eine umfassende Reihe von Anforderungen, die sicherstellen sollen, dass jedes Unternehmen, das Kreditkartendaten verarbeitet, speichert oder überträgt, dies in einer sicheren Umgebung tut. Die Anforderungen wurden festgelegt, um Verletzungen von Zahlungsdaten und Betrug mit Zahlungskarten zu verhindern.
Die PCI-Standards beziehen sich sowohl auf technische Lösungen als auch auf die betrieblichen Praktiken und Prozesse, die in den Systemen für Karteninhaberdaten enthalten oder mit diesen verbunden sind.
Ein unabhängiges Gremium, das PCI Security Standards Council (PCI SSC), das sich aus großen Zahlungsunternehmen wie Visa, MasterCard, American Express, Discover und JCB zusammensetzt, verwaltet und betreut diesen Standard. Die Durchsetzung der Einhaltung von PCI DSS liegt jedoch in der Verantwortung der einzelnen Payment Brands.
Der Rat bietet umfassende Standards und Unterstützung, um die Sicherheit sensibler Karteninhaberdaten zu gewährleisten. PCI DSS dient als Rahmen für Unternehmen, um einen Datensicherheitsprozess für den Zahlungsverkehr zu entwickeln und aufrechtzuerhalten, der die Vorbeugung, Erkennung und angemessene Reaktion auf Sicherheitsvorfälle umfasst.
Pflegen einer Richtlinie, die Informationssicherheit für alle Mitarbeiter regelt.
Jedes Unternehmen – vom kleinen Café bis hin zu weltweit tätigen Unternehmen – das Zahlungskarten oder Karteninhaberdaten akzeptiert, überträgt, verarbeitet oder speichert, muss PCI DSS-konform sein. Es gibt jedoch Unterschiede im Grad der erforderlichen PCI-Compliance, die vom Transaktionsvolumen eines Unternehmens in einem bestimmten Jahr abhängen.
Welche unterschiedlichen Stufen der PCI-Compliance gibt es?
Während ALLE Unternehmen, die Karteninhaberdaten annehmen, übertragen, verarbeiten oder speichern, den Anforderungen des PCI DSS unterliegen, gibt es vier verschiedene Compliance-Stufen, die von den einzelnen Unternehmen verlangt werden. Diese basieren auf dem Transaktionsvolumen über einen Zeitraum von 12 Monaten:
Auf der höchsten Compliance-Stufe (Stufe 1) müssen Unternehmen ein externes Audit durch einen Qualified Security Assessor (QSA) Internal Security Assessor (ISA) durchführen lassen. Bei dieser Bewertung wird der Umfang der Zustimmung validiert, die Dokumentation überprüft, festgestellt, ob die PCI DSS-Anforderungen erfüllt werden, und eine Anleitung zur Einhaltung der Anforderungen gegeben. Anschließend wird ein Report on Compliance (RoC) eingereicht, um die Einhaltung der Anforderungen nachzuweisen.
Organisationen mit niedrigerer Compliance-Stufe (Stufe 2 bis 4) benötigen kein externes Audit, sondern können stattdessen einen Fragebogen zur Selbsteinschätzung (SAQ) ausfüllen. Unternehmen der Stufe 2 müssen auch einen RoC ausfüllen.
Checkliste für PCI DSS-Compliance
Es gibt eine Reihe von Strategien und konkreten Maßnahmen, die Unternehmen umsetzen können, um sicherzustellen, dass die Mitarbeiter, Prozesse und Technologien Ihres Unternehmens PCI DSS-konform sind. Betrachten Sie diese Liste als solide Grundlage und passen Sie sie an Ihre spezielle Situation und Bedürfnisse an:
Pflege einer Datensicherheitsrichtlinie:
Wenn Sie in Ihrem Unternehmen eine Richtlinie verwenden, können Sie die PCI DSS-Compliance und die allgemeine Datensicherheit verbessern. Unternehmen können regelmäßige Schulungsprogramme und Weiterbildungsmaßnahmen zur Datensicherheit und insbesondere zur PCI DSS-Compliance entwickeln.
Lösungen für PCI-Compliance
Die Einhaltung der PCI DSS-Anforderungen wird durch eine Reihe von Sicherheitslösungen erleichtert, die in Ihrem Unternehmen zum Schutz sensibler Karteninhaberdaten eingesetzt werden können. Die Sicherheitssuite von Fortra bietet eine Reihe von Lösungen, die Ihnen helfen, Ihre PCI DSS-Verpflichtungen zu erfüllen und die Daten Ihrer Karteninhaber zu schützen.
Wir können Sie bei PCI DSS-Compliance unterstützen. Reden wir darüber.
Kontaktieren Sie die Experten von Fortra für eine kostenlose 30-minütige Beratung darüber, welche Lösungen für Ihr Unternehmen am besten geeignet sind, wenn es um die Sicherung von PCI-Daten geht. Wir helfen Ihnen dabei, die richtigen Schutzebenen für PCI DSS-Compliance zu bestimmen.