Definition

PCI DSS (Payment Card Industry Data Security Standard)

Der Payment Card Industry Data Security Standard oder abgekürzt PCI DSS ist ein allgemein akzeptiertes Set aus verschiedenen Richtlinien und empfohlenen Prozeduren zur Verbesserung der Sicherheit im nationalen und internationalen Zahlungsverkehr. Er soll vor allem die Kartenbesitzer vor einem Missbrauch ihrer persönlichen Informationen bei Kreditkartentransaktionen schützen, aber auch das gesamte System sichern. Der PCI DSS wurde im Jahr 2004 von den vier großen Kreditkartenanbietern Visa, Mastercard, Discover und American Express vorgestellt.

Der PCI DSS umfasst sechs Grundprinzipien und Ziele:

1. Das verwendete Netzwerk muss so geschützt werden, dass darin sichere Transaktionen durchgeführt werden können. Diese Anforderung bedeutet, dass unter anderem auch Firewalls eingesetzt werden müssen, die robust genug sind, um selbst dann noch effektiv arbeiten zu können, wenn sie keine etwaigen Nachteile für die Kartenbesitzer und Händler mit sich bringen. Für WLANs gibt es zudem spezielle Firewalls, da viele drahtlose Netzwerke nicht ausreichend sicher sind vor Spionage und Angriffen durch Hacker. Zusätzlich dürfen zur Authentifizierung verwendete Daten wie PINs (Personal Identification Numbers) und Passwörter keine durch den Anbieter vorgegebenen Bestandteile enthalten. Die Kunden sollten außerdem in der Lage sein, ihre Login-Daten selbst regelmäßig und ohne größere technische Hürden ändern zu können.

2. Die Daten der Kartenbesitzer müssen geschützt werden, wo auch immer sie gespeichert werden. Storage-Systeme, die besonders sensible Informationen wie Geburtsdaten, Geburtsnamen der Mutter, Telefonnummern, Sozialversicherungsnummern und Postadressen enthalten, müssen besonders gut gegen Attacken durch Cyberangreifer geschützt werden. Sofern diese Daten über ein öffentliches Netzwerk übertragen werden, müssen sie sicher und effektiv verschlüsselt werden. Moderne Verschlüsselungstechniken werden zudem für alle Arten von Kreditkartentransaktionen benötigt. Das gilt insbesondere für den Onlinehandel im Internet.

3. Alle verwendeten Systeme müssen zudem mit kontinuierlich aktualisierten Antiviren- und Anti-Spyware-Programmen sowie weiteren Anti-Malware-Lösungen vor Angriffen durch Hacker gesichert werden. Die eingesetzten Anwendungen sollten weitgehend frei von Fehlern sein und keine Schwachstellen mehr enthalten, da sie sonst Tür und Tor für mögliche Exploits öffnen, über die die Daten der Kartenbesitzer gestohlen oder verändert werden können. Von den Software- und Betriebssystemherstellern angebotene Patches sollten in regelmäßigen Abständen oder in dringenden Fällen sogar umgehend installiert werden, um einmal entdeckte Sicherheitslücken möglichst schnell zu schließen.

4. Der Zugriff auf die in den Systemen gespeicherten Daten und die dabei verwendeten Prozesse muss des Weiteren auf das Nötigste beschränkt werden. Die Kartenbesitzer sollten gegenüber einem Unternehmen keine persönlichen Daten freigeben, außer sie werden für den Schutz des Unternehmens oder für eine ordnungsgemäße Durchführung der benötigten Prozesse benötigt. Jede Person, die auf einen der Computer im System zugreift, muss eine eindeutige Zugangskennung erhalten, die nicht weitergegeben werden darf. Die Daten der Kartenbesitzer müssen zudem nicht nur elektronisch, sondern auch physisch geschützt werden. Beispielsweise gehört dazu eine Nutzung von Aktenvernichtern, eine Vermeidung von unnötigen Kopien von wichtigen Dokumenten auf Papier sowie auch Schlösser und Ketten an Abfalleimern, um Ganoven daran zu hindern, im Müll nach verwertbaren Informationen zu suchen.

5. Die genutzten Netzwerke müssen kontinuierlich überwacht und regelmäßig auf Schwachstellen getestet werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen und -prozesse weiterhin ihre Aufgaben ordnungsgemäß erfüllen und auf dem aktuellen Stand sind. So müssen etwa Antivirus- und Anti-Spyware-Programme immer auch die jeweils aktuellsten Signaturen und Definitionen erhalten. Diese Anwendungen sollten alle ausgetauschten Daten scannen, außerdem sollten sie die gesamte verwendete Software überprüfen, den Arbeitsspeicher checken und auch auf den Storage-Systemen im Netz fortlaufend nach Bedrohungen suchen.

6. Eine offizielle Sicherheitsrichtlinie muss formuliert und regelmäßig aktualisiert werden. Außerdem muss ihre Um- und Durchsetzung zu jeder Zeit und von jeder beteiligten Partei sichergestellt werden. Gegebenenfalls sind Audits zur Überprüfung durchzuführen und notfalls auch Strafen einzusetzen, um für eine Befolgung der Vorgaben zu sorgen.

Diese Definition wurde zuletzt im August 2020 aktualisiert

Erfahren Sie mehr über IT-Management