Was bedeutet PCI DSS-Konformität? | Definition von PCI DSS

Um Karteninhaberdaten zu schützen, befolgen PCI-konforme Unternehmen eine Reihe von Sicherheitsstandards für Kreditkartendaten, die als PCI DSS bekannt sind. Erfahren Sie, warum die PCI-Konformität für alle Unternehmen wichtig ist, die Kartenzahlungen abwickeln oder verarbeiten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Payment Card Industry Data Security Standard (PCI DSS) definieren
  • Die Ursprünge und die Entwicklung von PCI DSS beschreiben
  • Die Bedeutung der PCI DSS-Konformität verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was bedeutet PCI DSS-Konformität?

PCI-Konformität (Payment Card Industry) bedeutet, dass eine Reihe von Sicherheitsrichtlinien für Karteninhaberdaten befolgt werden. Alle Unternehmen, die Transaktionen mit Kredit-, Debit- und/oder Prepaid-Karten verarbeiten, unterliegen den Anforderungen der PCI-Konformität.

Kreditkartendaten müssen geheim bleiben, um sicher zu sein, und die PCI-Konformität belegt, dass man einem Unternehmen die Geheimhaltung dieser Daten zutrauen kann. So wie ein Hausbesitzer seine Hausschlüssel nicht an jemanden ausleihen würde, dem er sein Eigentum nicht anvertrauen kann, so werden auch Kreditkartenunternehmen einem Händler ihre Kartendaten nicht anvertrauen, wenn dieser sie nicht sicher aufbewahrt.

Wenn ein Unternehmen Daten von Karteninhabern speichert, verarbeitet oder überträgt, sei es über das Internet, per Telefon, in einer App, auf Papier oder persönlich, muss es eine Reihe von Regeln zum Schutz dieser Zahlungsinformationen befolgen.

Obwohl die PCI-Konformität nicht gesetzlich vorgeschrieben ist, können die Kreditkartenfirmen Gebühren für die Nichteinhaltung der Vorschriften erheben, wenn Unternehmen die Karteninhaberdaten nicht ordnungsgemäß schützen. Noch entscheidender ist, dass mangelhafter Schutz der Karteninhaberdaten es Kriminellen erleichtert, diese Daten zu stehlen. Ein solcher Diebstahl ist ein erhebliches Risiko – in den nächsten zehn Jahren wird die weltweite Payment Card Industry laut Hochrechnungen des Nilson-Reports weltweit 397 Milliarden Dollar durch Betrug verlieren.

Was ist PCI DSS?

PCI DSS steht für „Payment Card Industry Data Security Standard“ (PCI DSS). Das PCI-DSS-Rahmenwerk bietet Unternehmen robuste Prozesse zur Sicherung von Karteninhaberdaten und Kartenauthentifizierungsdaten. Die Anforderungen sollen sowohl Karteninhaberdaten als auch Authentifizierungsdaten schützen und helfen, Sicherheitsvorfälle zu verhindern, zu erkennen und darauf zu reagieren.

Die PCI-Konformität gilt weltweit für alle Händler, die Kreditkarten, Debitkarten oder Prepaid-Karten akzeptieren. Das bedeutet, dass Unternehmen jeder Größe, vom Café an der Ecke bis zur multinationalen Designermarke, der PCI-Konformität unterliegen, selbst wenn sie einen Dritten mit der Transaktionsverarbeitung beauftragen.

Zu den Karteninhaberdaten, auf die sich der PCI DSS bezieht, gehören:

  • Primäre Kontonummer: Die Kontonummer auf der Karte, in der Regel 16 Ziffern lang
  • Vollständiger Name: Der Name des Karteninhabers
  • Gültigkeitsdatum: Monat und Jahr, in dem die Karte abläuft
  • Servicecode: Der Wert, der automatisch vom Magnetstreifen oder Chip der Karte bei persönlichen Transaktionen abgerufen wird

Zu den sensiblen Authentifizierungsdaten, die unter den PCI DSS fallen, gehören:

  • Vollständige Tracking-Daten: Die Magnetstreifendaten der Karte oder das Äquivalent auf einem Kreditkartenchip
  • Kartenprüfnummer: Der drei- oder vierstellige Sicherheitscode auf einer Karte, der bei Online-Einkäufen fast immer angefordert wird
  • Gültigkeitsdatum: Monat und Jahr, in dem die Karte abläuft
  • Persönliche Identifikationsnummer (PIN): Die eindeutige Nummer, in der Regel vier Ziffern, die Abhebungen am Geldautomaten und andere Transaktionen ermöglicht

Das PCI DSS-Rahmenwerk

Das PCI-DSS-Rahmenwerk umfasst zwölf grundlegende Anforderungen (mit mehr als 300 Unteranforderungen):

  1. Installieren und pflegen Sie Netzwerksicherheitskontrollen.
  2. Verwenden Sie auf Geräten, die mit dem Netzwerk verbunden sind, keine Standardpasswörter des Herstellers.
  3. Schützen Sie gespeicherte Kontodaten durch Verschlüsselung oder andere Datenschutzmethoden.
  4. Verschlüsseln Sie Karteninhaberdaten in offenen, öffentlichen Netzwerken auf starke Weise.
  5. Schützen Sie alle Systeme und Netzwerke vor Schadsoftware.
  6. Halten Sie die Systeme und Software sicher.
  7. Beschränkung des Zugriffs auf das System und die Karteninhaberdaten nach dem „Need to know“-Prinzip
  8. Identifizieren Sie Nutzer und authentifizieren Sie den Zugriff auf Systemkomponenten.
  9. Kontrollieren und beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
  10. Protokollieren und überwachen Sie den Zugriff auf Karteninhaberdaten.
  11. Testen Sie Sicherheits- und Netzwerksysteme regelmäßig.
  12. Pflegen Sie eine betriebliche Richtlinie zur Informationssicherheit.
Hinweis: Es handelt sich hierbei nur um eine Zusammenfassung der Standards, nicht um die eigentlichen Standards. Auf der offiziellen Website des PCI Security Standards Council erfahren Sie mehr.

Woher stammen die PCI-Standards?

Der PCI DSS und die damit verbundenen Sicherheitsstandards werden vom PCI Security Standards Council (PCI SSC) verwaltet. Es handelt sich dabei um eine Branchenorganisation, gegründet von American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. Zu den teilnehmenden Organisationen gehören auch Händler, Banken, die Zahlungskarten ausgeben, Auftragsverarbeiter, Entwickler und andere Anbieter.

Die erste Version, PCI DSS 1.0, wurde 2004 präsentiert. Im Jahr 2006 veröffentlichte der PCI SSC die Version 1.1, in der Händler aufgefordert wurden, alle Online-Anwendungen zu überprüfen und Firewalls für zusätzliche Sicherheit einzurichten.

PCI DSS wurde im Laufe der Jahre kontinuierlich weiterentwickelt, als Reaktion auf Datenschutzverletzungen und Sicherheitslücken im gesamten Ökosystem der Kartenverarbeitung. Mit der Archivierung von Version 3.2.1 wurde die aktuelle Version 4.0 am 31. März 2024 zur einzigen aktiven Version.

PCI DSS v4.0 wurde 2022 veröffentlicht, um „neuen Bedrohungen und Technologien zu begegnen und innovative Methoden zur Bekämpfung neuer Bedrohungen zu ermöglichen“. Unternehmen haben bis zum 31. März 2025 Zeit, alle Anforderungen von PCI DSS v4.0 zu erfüllen.

Obwohl sich die Kernanforderungen des PCI DSS nicht grundlegend geändert haben, konzentriert sich die neue Version 4.0 stärker auf die Implementierung von Sicherheitskontrollen. Beispiele für Änderungen sind:

  • Aktualisierung der Firewall-Terminologie zu Netzwerksicherheitskontrollen, um ein breiteres Spektrum an Technologien zu unterstützen
  • Erweiterung der Anforderungen für die Implementierung der Multifaktor-Authentifizierung (MFA) für alle Zugriffe auf die Umgebung mit Karteninhaberdaten
  • Erhöhte Flexibilität für Organisationen, um nachzuweisen, wie sie verschiedene Methoden zur Erreichung der Sicherheitsziele einsetzen

Hier finden Sie eine Zusammenfassung der wichtigsten Änderungen von Version 3.2.1 zu Version 4.0.

Wie wird die PCI-Konformität durchgesetzt?

Die PCI-Konformität wird von den für die Zahlungsabwicklung zuständigen Kreditkartenfirmen durchgesetzt. Wenn ein Händler (z. B. jemand, der Zahlungskarten als Zahlungsmittel für Waren und Dienstleistungen akzeptiert) eine bestimmte Anzahl von Zahlungskartentransaktionen pro Jahr durchführt, ist er verpflichtet, einen vollständigen PCI-DSS-Bericht zur Compliance zu erstellen. Wenn der Händler keinen Bericht erstellt, muss er mit Geldbußen rechnen.

PCI-DSS-Strafen basieren auf einer Reihe von Faktoren, wie z. B. der Schwere des Verstoßes, der Dauer der Mängelbeseitigung und der Frage, ob ein Verstoß vorliegt. Wenn ein Unternehmen weiterhin nicht PCI-konform ist, besteht außerdem die Möglichkeit, dass es keine Kreditkarten für Zahlungen innerhalb seines Systems verwenden darf.

PCI DSS teilt Unternehmen (oder „Händler“, wie die Standards sie nennen) in vier Stufen ein, basierend auf der Anzahl der Kartentransaktionen, die sie innerhalb eines Jahres verarbeiten.

Die vier Stufen* lauten:

  • Stufe 1: Mehr als sechs Millionen Transaktionen pro Jahr, über alle Kanäle hinweg
  • Stufe 2: Zwischen einer Million und sechs Millionen Transaktionen pro Jahr, über alle Kanäle hinweg
  • Stufe 3: Zwischen 20.000 und einer Million E-Commerce-Transaktionen pro Jahr
  • Stufe 4: Weniger als 20.000 E-Commerce-Transaktionen pro Jahr

Die Art und Weise, wie ein Händler als PCI-konform zertifiziert werden kann, hängt von seiner Stufe ab. Im Allgemeinen gilt: Je mehr Transaktionen abgewickelt werden, desto strenger sind die Anforderungen an die Compliance-Prüfung.

Händler der Stufen 24 füllen zum Beispiel einen jährlichen Fragebogen zur Selbsteinschätzung (Self-Assessment Questionnaire oder kurz SAQ) aus und reichen ihn ein. Es gibt verschiedene SAQ-Typen, je nach Verarbeitung von Zahlungskartendaten durch den Händler. In den SAQ-Anweisungen und -Richtlinien können Unternehmen nachlesen, welcher SAQ (wenn überhaupt) auf sie zutrifft. Eine Zusammenfassung der Unterschiede bei den SAQ-Anforderungen in Version 4.0 finden Sie hier.

Händler der Stufe 1 (wie Cloudflare), die mehr als sechs Millionen Transaktionen pro Jahr abwickeln, werden jährlich geprüft. Händler der Stufe 1 müssen von einem PCI SSC Qualified Security Assessor (QSA) oder PCI SSC Internal Security Assessor (ISA) einen Bericht über die Konformität erhalten. Dieser Prozess für Händler der Stufe 1 findet je nach Karteninstitut entweder einmal im Jahr oder einmal im Quartal statt. Händler der Stufe 1 können auch vor Ort eine Bewertung der Datensicherheit vornehmen lassen.

Schließlich müssen alle Händler ein AOC-Formular (Attestation of Compliance) ausfüllen und einreichen. Darin erklärt der Händler gegenüber dem Kreditkarteninstitut, dass er PCI-konform ist.

*Diese Definitionen sind größtenteils zutreffend, aber jede Kreditkartenfirma definiert und bewertet die Konformität etwas anders. Es ist wichtig, dass Sie sich bei jedem Kreditkartenunternehmen nach den spezifischen Kriterien des jeweiligen Programms erkundigen.

Kann Cloudflare Kunden helfen, die PCI-Anforderungen zu erfüllen?

Cloudflare befindet sich auf der Stufe 1 der PCI-DSS-Konformität und ist seit 2014 PCI-konform. Viele unserer Kunden verlangen außerdem, dass wir eine Kopie unseres AOC vorlegen, das dem Kreditkartenunternehmen im Wesentlichen mitteilt, dass wir PCI-konform sind. Ohne diese Zertifizierung könnten wir mit bestimmten Kunden nicht zusammenarbeiten, und unsere Acquiring Bank würde uns nicht erlauben, Zahlungskarten als Zahlungsmittel für unsere Dienstleistungen zu verwenden.

Außerdem helfen wir unseren Kunden, die Sicherheit ihrer eigenen Websites und Anwendungen zu gewährleisten. Hier sind einige Beispiele dafür, wie Cloudflare Unternehmen helfen kann, bestimmte PCI-DSS-Anforderungen zu erfüllen:

  • Kunden, die die Cloudflare Web Application Firewall nutzen, das OWASP-Regelwerk aktivieren und die Regeln auf ihre Umgebung abstimmen, erfüllen die Pflicht, Webanwendungen zu schützen und erfüllen die PCI-Anforderung 6.4.1.
  • Cloudflare ermöglicht es Händlern, die neuesten Versionen der TLS-Verschlüsselung zu verwenden, ein weiterer wichtiger Aspekt der PCI-Konformität.
  • Viele Unternehmen setzen Firmen-VPNs und andere Segmentierungswerkzeuge ein, um ihre Umgebung für Karteninhaberdaten einzugrenzen. Cloudflare Access bietet eine weitere Möglichkeit der Segmentierung: Sie können das globale Netzwerk von Cloudflare als VPN-Dienst für den Zugriff auf interne Ressourcen nutzen. Zusätzlich können diese Sitzungen so konfiguriert werden, dass sie nach 15 Minuten Inaktivität ablaufen, um Kunden bei der Erfüllung der PCI-Anforderung 8.2.8. zu unterstützen.
  • Die neuen Anforderungen an die Client-Sicherheit –6.4.3 und 11.6.1 in PCI DSS v4.0 – schreiben vor, dass JavaScript auf allen Zahlungsseiten bekannt und zugelassen sein muss und dass bei Änderungen am JavaScript-Code gewarnt werden muss. Cloudflare Page Shield überwacht kontinuierlich die gesamte Website über die Zahlungsseiten hinaus und sendet eine Warnung, wenn ein Skript verändert und als böswillig eingestuft wird.

Erfahren Sie mehr über die Website- und App-Sicherheitsdienste von Cloudflare und über die integrierten Sicherheits-, Datenschutz- und Compliance-Funktionen einer Connectivity Cloud.