PCI DSS

Inhalt und Anwendungsbereich

Der Payment Card Industry Data Security Standard (PCI DSS) stellt ein Sicherheitsrahmenwerk dar und enthält eine umfassende Anforderungsliste an die Kontrollen der Bereiche physikalische und logische Sicherheit. Das Ziel des Standards ist die Verbesserung der Sicherheit von Kreditkartendaten und des Online-Zahlungsverkehrs, sofern dieser über Kreditkartenzahlungen abgewickelt wird.
Der PCI DSS wurde von den führenden Kreditkartenunternehmen entwickelt und erstmals 2005 veröffentlicht. Er richtet sich an alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übermitteln.

Methodik

Der Standard liefert keine konkrete Methodik. Vielmehr definiert er sechs abstrakte Kontrollziele, aufgeteilt in zwölf Anforderungsbereiche mit über 230 Detailanforderungen. Die Kontrollziele sind für die gesamte Umgebung umzusetzen, welche Kreditkartendaten bearbeitet, speichert oder überträgt beziehungsweise daran angeschlossen ist.

Die Anforderungsbereiche sind:

• Installation und Wartung einer Firewall-Konfiguration
• Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden
• Schutz gespeicherter Karteninhaberdaten
• Verschlüsselung von Karteninhaberdaten bei der Übertragung über öffentliche Netze
• Verwendung und regelmäßige Aktualisierung von Antivirensoftware
• Entwicklung und Wartung sicherer Systeme und Anwendungen
• Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftinformationsbedarfs
• Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
• Beschränkung des physischen Zugriffs auf Karteninhaberdaten
• Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
• regelmäßiges Testen der Sicherheitssysteme und –prozesse
• Befolgen einer Richtlinie zur Informationssicherheit für Mitarbeiter und Subunternehmer
• Die konkrete Ausprägung der Maßnahmen muss unternehmensspezifisch erfolgen.

Der Standard fordert darüber hinaus den Einsatz von Sicherheitstechnologien, wie beispielsweise Virenscanner, Firewalls, Application-Layer-Firewalls oder Vulnerability-Scanner.
Können aus technischen oder geschäftlichen Gründen einzelne Kontrollen nicht erfüllt werden, können sogenannte Kompensationskontrollen eingeführt werden, die aber mindestens genauso stark sein müssen als die zu ersetzende Kontrollen.

Zertifizierung

Einzelhändler oder Dienstleister, die mehr als 1.000.000 Transaktionen pro Jahr ausführen müssen ihre Netzwerksicherheit von einem Approved Scanning Vendor (ASV) prüfen lassen. Die Experten eines ASV führen einen Schwachstellenscan des Netzwerks durch.
Die Einhaltung der weiteren Anforderungen des Standards wird durch externe Parteien (sogenannte Qualified Security Assessor (QSA)) geprüft und bescheinigt.
Zur Aufrechterhaltung des Zertifikats muss der Schwachstellenscan quartalsweise wiederholt und die Erfüllung der weiteren gestellten Anforderungen jährlich durch einen Assessor bescheinigt werden.
Unternehmen mit weniger als 1.000.000 Transaktionen müssen die Anforderungen durch ein jährliches Selbsttestat und einen vierteljährlichen Schwachstellenscan durch einen ASV bestätigen.

Weitere Anmerkungen

Betroffene Unternehmen, die sich nicht an die Vorgaben dieses Standards halten, können mit Strafzahlungen und Sanktionen – bis hin zum Ausschluss der Teilnahme am Kreditkartenzahlungsverkehr belegt werden.
Der Standard ist auf der Webseite des PCI Security Standard Council www.pcisecuritystandards.org kostenfrei erhältlich.

Bisherige Ausgaben

PCI DSS 1.0: 2006
PCI DSS 1.1: 2007
PCI DSS 1.2: 2008