PCI DSS

PCI DSS
Der Payment Card Industry Data Security Standard, kurz PCI DSS, ist ein weltweit akzeptierter Sicherheitsstandard bei Kreditkartentransaktionen, der das Ziel verfolgt, Verbraucher und Unternehmen vor Datenmissbrauch und Betrug zu schützen. Im Wesentlichen beinhaltet das Regelwerk zwölf verschiedene Anforderungen an Unternehmen, die Kreditkartenzahlungen anbieten. Da sich alle großen Kreditkartenunternehmen, wie VISA, Mastercard und American Express auf diesen Standard verständigt haben, ist dieser für alle teilnehmenden Unternehmen, wie etwa Subscription Based Services-Anbieter oder Online-Shop-Betreiber, rechtlich bindend. In diesem Beitrag erfahren Sie alles, was Sie rund um das Thema PCI DSS-Konformität für ihr Unternehmen und für die Auswahl von Tool- und Plattform-Anbietern wissen müssen, welche Anforderungen an Unternehmen gestellt werden und welche Vorteile mit der Einhaltung der PCI-Standards verbunden sind.

Was ist PCI DSS?

Der PCI DSS ist ein verbindlicher Standard aller Kreditkartenorganisationen und dient dem Schutz der Karten akzeptierenden Unternehmen und der Käufer vor Datendiebstahl. Voraussetzung für eine wirksame PCI-Konformität ist, dass die PCI DSS-Compliance verpflichtend in den AGB des Unternehmens geregelt ist. Darüber hinaus muss regelmäßig ein Nachweis erbracht werden, dass das Unternehmen weiterhin PCI-konform ist.

Grundlage für die PCI-Sicherheitsstandards sind die jeweiligen Sicherheitsregeln der Kreditkartenorganisiationen VISA, Mastercard, American Express, Discover und JCB. Betroffen von diesen Regelungen sind alle Unternehmen, die Kreditkarten als Bezahlverfahren akzeptieren. Unterschieden wird dabei zwischen großen Händlern und Dienstleistern mit mehr als 6 Millionen Kreditkartentransaktionen pro Jahr, Händlern zwischen 20.000 und 6 Millionen Transaktionen und E-Commerce-Händlern mit weniger als 1 Million Transaktionen. Letztere müssen für Transaktionsabwicklungen einen PCI DSS-zertifizierten Service Provider beauftragen, um PCI-konformen Zahlungsverkehr anbieten zu können. Hierzu beraten und unterstützen auch Banken und Sparkassen und bieten oftmals eigene oder Partner-Händlerservices an, um Schwachstellenanalysen oder Sicherheitsprüfungen vor Ort vorzunehmen.

Die Nennung der PCI DSS-Konformität in den AGB ist allerdings erst dann möglich, wenn alle zwölf Anforderungen an das Rechnernetz eines Unternehmens erfüllt sind.

Welche Anforderungen werden an die PCI DSS gestellt?

Das PCI-Regelwerk besteht aus zwölf obligatorischen Anforderungen:

  • Installation und regelmäßige Aktualisierung der Firewall zum Schutz der Daten
  • Regelmäßige Änderung von Systempasswörtern oder anderer Sicherheitseinstellungen, sowie keine Verwendung vorgegebene Passwörter, etwa durch Lieferanten oder Hersteller
  • Der Schutz der gespeicherten Daten der Kreditkarteninhaber hat oberste Priorität. Dazu zählt auch, dass sie nicht unnötig gespeichert werden (z.B. nur ein Teil der Kreditkartennummer und keine PINs oder Verifizierungscodes)
  • Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken
  • Verwendung und regelmäßige Aktualisierung einer anerkannten Anti-Viren-Software
  • Entwicklung und Verwendung sicherer Systeme und Anwendungen
  • Gewährleistung, dass der Datenzugriff ausschließlich auf geschäftliche Zwecke beschränkt ist
  • Jede Person mit Rechnerzugang benötigt eine eigene Benutzerkennung
  • Einschränkung des physischen Zugangs zu den Daten der Kreditkarteninhaber
  • Aufzeichnung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten der Kreditkarteninhaber
  • Regelmäßige Überprüfung aller Sicherheitssysteme und Prozessabläufe
  • Erstellung und Einhalten einer Unternehmensrichtlinie, die das Thema Informationssicherheit regelt

 

Was bedeutet der PCI-Sicherheitsstandard in der Subscription Economy?

Neben digitalen Bezahlmethoden wie SEPA Lastschrifverfahren, Paypal oder In-App-Purchase, ist die Kreditkartenbezahlung bei Subscription-Kunden in Deutschland mit einem Anteil von ca. 8% eine noch oft genutzte Variante, auch wenn deren Anteil der eingesetzten Zahlungsmittel relativ gesehen schwindet (siehe dazu auch billwerk Whitepaper “Subscription Based Services“). Der PCI Data Security Standard muss daher die Basis für jedes Subscription Business-Modell sein, um einen vertrauensvollen Umgang mit den Kunden zu pflegen. Das Besondere an Subscription Based-Geschäftsmodellen ist der wiederkehrende und automatisierte Prozess, für den der Kunde einen Vertrag mit dem Unternehmen geschlossen hat. Ein Subscription-Anbieter muss also auf der einen Seite eine bequeme Bezahlabwicklung sicherstellen, die einem Abonnement gerecht wird, auf der anderen Seite hat die Sicherheit der Kundendaten und damit auch die die begrenzte Speicherung seiner Daten höchste Priorität.

Welche Vorteile ergeben sich durch die PCI DSS?

Ein Unternehmen, das PCI DSS-konforme Kreditkartenzahlung anbietet, sorgt nicht nur für einen enormen Vertrauensvorschuss bei potenziellen Kunden, sondern erschließt damit zugleich den Markt der Kunden, die die Bezahlmethode Kreditkarte vorziehen. Z. B. Start-ups und Unternehmen in Gründung müssen sich im Klaren darüber sein, dass nur unter Beachtung des PCI-Regelwerks die Kreditkartenzahlung als Option angeboten werden kann. Was nach jeder Menge Bürokratie klingt, hat operativ auch seine gute Seite. Viele Service Provider bieten ein Rund-um-sorglos-Paket, bei dem mit wenig technischem Know-how die Bezahlmethode Kreditkarte implementiert werden kann.

Fazit: PCI DSS als zukunftsfähiger Sicherheitsstandard

Der PCI DSS-Standard gilt weltweit als akzeptierter Schutz für Käufer und Verkäufer. Aufgrund seiner Integrität und Verbreitung gibt es aktuell keinen Grund zur Annahme, dass sich das in absehbarer Zeit ändern wird. Was sich allerdings verändern wird sind die Sicherheitsstandards selbst. Laufende Updates, um den ständigen Bedrohungen von außen Rechnung zu tragen, sind daher zwingend notwendig. Die beschriebenen Regeln und Prüfungen sind daher nicht nur einzuführen und ständig einzuhalten, sondern auch immer zeitnah auf den neuesten Stand zu bringen, um Kunden, aber auch das eigene Unternehmen, vor ungewollten Zugriffen und kriminellen Handlungen zu schützen.

Achten Sie daher bei der Auswahl einer Subscription Management-Plattform und im Falle einer etwaigen Eigenwicklung auf PCI DSS Konformität des Anbieters / der Entwicklung. Im Idealfall ist dieser PCI DSS zertifiziert.

in Wiki: Standards & Normen