Der PCI DSS umfasst grundlegende technische sowie betriebliche Anforderungen zum Schutz von Karteninhaberdaten, an die sich jeder halten muss, der die Bezahlung per Kreditkarte anbietet oder in irgendeiner Form daran beteiligt ist. Dabei handelt es sich um eine Mindestkontrollrichtlinie, die durch lokale, regionale oder brancheneigene Gesetze und Vorschriften erweitert werden kann. Sobald Kontodaten, die aus Karteninhaberdaten und vertraulichen Authentifizierungsdaten bestehen, gespeichert, verarbeitet oder übertragen werden, gilt der PCI DSS. Die vertraulichen Authentifizierungsdaten dürfen jedoch nur zur Autorisierung genutzt und in keinem Fall gespeichert werden. Bei der Speicherung der Kreditkartenummer muss diese unleserlich gemacht werden.
Damit der Schutz der Daten tatsächlich gewährleistet ist, besteht der Katalog verpflichtender Kriterien und Anforderungen aus sechs Hauptbereichen mit mehr als 200 Einzelanforderungen: Aufbau und Instandhaltung eines sicheren Netzwerks, Schutz von Kreditkartendaten, Einsatz eines Schwachstellen-Management-Programms, Implementierung strenger Zugangskontrollmaßnahmen, regelmäßige Überwachung und Tests der IT-Infrastruktur sowie Implementierung und Einhaltung von Richtlinien zur Informationssicherheit.
"Bei der Gewährleistung der Datensicherheit sind regelmäßige Überprüfungen der Netzwerke sowie der Sicherheitssysteme und -prozesse ein wesentlicher Bestandteil", erklärt Rainer Seidlitz, Prokurist bei der TÜV SÜD Sec-IT GmbH. "Seit 2012 hat TÜV SÜD eine Zulassung, Kreditkartenstandards zu prüfen, und bietet entsprechende Zertifizierungen an."
Händler, die Kreditkartenzahlung anbieten möchten, müssen zum Nachweis ihrer PCI-Konformität regelmäßig einen Selbstbewertungs-Fragebogen ausfüllen und externe Schwachstellen-Scans nachweisen. TÜV SÜD bietet dafür ein Händlerportal, auf dem die Benutzer durch den gesamten Prozess geführt werden und sich bei Fragen an einen Experten wenden können.
Um immer den aktuellen Gegebenheiten gerecht zu werden, wird der Standard regelmäßig weiterentwickelt. Momentan ist der PCI DSS 3.0 gültig. Zuständig für die Erneuerung des Standards ist das PCI Security Standards Council, ein internationaler Standardgeber für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten.
Interessierte finden weitere Informationen unter www.tuev-sued.de/PCI.