Artikel
PCI DSS: Alles, was Sie über PCI DSS wissen müssen, um compliant zu bleiben
PCI DSS ist entscheidend für den Schutz sensibler Kartendaten. Erfahren Sie hier, welche Anforderungen es gibt und wie Adyen Sie dabei unterstützen kann.
Der Payment Card Industry Data Security Standard (PCI DSS) umfasst eine Reihe von Anforderungen, die Unternehmen und ihre Kunden vor böswilligen Angriffen schützen. Die Einhaltung ist verpflichtend für jedes Unternehmen, das Kredit- oder Debitkartenzahlungen akzeptiert oder mit sensiblen Authentifizierungsdaten in Berührung kommt.
Die Befolgung des Standards stärkt das Vertrauen von Kunden, Partnern und Stakeholdern, dass sensible Zahlungsinformationen sicher verarbeitet werden.
Zugegeben: Die einzelnen Schritte zur Einhaltung können umfangreich wirken. Mit den richtigen Tools und Integrationen wird der Prozess jedoch deutlich einfacher.
In diesem Artikel erfahren Sie:
Was ist PCI DSS?
Für wen gilt PCI DSS?
Die Compliance-Stufen von PCI DSS
Die wichtigsten Anforderungen von PCI DSS
Wie erfüllt man PCI DSS in der Praxis?
Vorteile der Compliance für Ihr Unternehmen
Risiken bei Nichteinhaltung
Wie Adyen Ihr Unternehmen bei der PCI DSS-Compliance unterstützt
Was ist PCI DSS?
PCI DSS ist ein Sicherheitsstandard, der 2004 vom Payment Card Industry Security Standards Council (PCI SSC) ins Leben gerufen wurde. Dem PCI SSC gehören die führenden Kreditkartenunternehmen an (Visa, Mastercard, American Express, Discover und JCB).
PCI DSS umfasst 12 technische und organisatorische Anforderungen, die entwickelt wurden, um Karteninhaberdaten und sensible Kontoinformationen während des Zahlungsprozesses zu schützen und das Risiko von Datenpannen und Betrug zu reduzieren. Darüber hinaus bringt die Einhaltung weitere Vorteile mit sich, darunter:
Aufbau und Pflege sicherer Netzwerke und Systeme
Schutz von Kontodaten
Einführung eines Programms zum Schwachstellenmanagement
Umsetzung starker Zugriffskontrollen
Regelmäßige Überwachung und Tests der Netzwerke
Pflege einer Informationssicherheitsrichtlinie
Es existieren weitere Sicherheitsstandards zum Schutz von Karteninhaberdaten. Doch PCI DSS ist der zentrale und verpflichtende Standard für alle Händler, die Kredit- oder Debitkartenzahlungen abwickeln.
Für wen gilt PCI DSS?
Die Anforderungen des PCI DSS betreffen:
Unternehmen, die Kredit- oder Debitkartenzahlungen abwickeln
Unternehmen, die Karteninhaberdaten oder sensible Authentifizierungsdaten erfassen, speichern oder übertragen
Karteninhaberdaten umfassen die vollständige Primärkartennummer (PAN) sowie den Namen des Karteninhabers, das Ablaufdatum und den Servicecode. Sensible Authentifizierungsdaten sind sicherheitsrelevante Informationen, die für die Authentifizierung von Karteninhabern und die Autorisierung von Zahlungstransaktionen genutzt werden.
Das heißt, alle am Zahlungsverkehr beteiligten Parteien müssen die PCI-DSS-Vorgaben einhalten, also Händler, Prozessoren, Acquirer, Issuer und Dienstleister.
PCI DSS-Compliance-Stufen
Stufe 1
Kriterien
Händler mit mehr als 6 Mio. Transaktionen im Jahr (Visa, Mastercard, Discover oder Amex)
Erforderliche Dokumente
Vor-Ort PCI DSS Assessment, Attestation of Compliance (AoC)
Stufe 2
Kriterien
Händler mit 1 bis 6 Mio. Transaktionen im Jahr
Erforderliche Dokumente
Self-Assessment Questionnaire (SAQ)
Stufe 3
Kriterien
Händler mit 20.000 bis 1 Mio. Transaktionen im Jahr
Erforderliche Dokumente
Self-Assessment Questionnaire (SAQ)
Stufe 4
Kriterien
Händler mit weniger als 20.000 Transaktionen pro Jahr
Erforderliche Dokumente
Self-Assessment Questionnaire (SAQ)
PCI DSS-Anforderungen
PCI-DSS-Vorgaben zu erfüllen bedeutet, umfassende Sicherheitsstandards einzuhalten, die den Schutz von Karteninhaberdaten sicherstellen und Transaktionen zuverlässig absichern.
Die Compliance-Prinzipien von PCI DSS gliedern sich in 12 Anforderungen, die jedes Unternehmen befolgen muss:
Installation und Pflege einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
Keine Verwendung von voreingestellten Standardpasswörtern oder Sicherheitseinstellungen
Schutz gespeicherter Karteninhaberdaten
Verschlüsselung der Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
Schutz aller Systeme vor Malware und regelmäßige Aktualisierung von Antiviren-Software oder -Programmen
Entwicklung und Pflege sicherer Systeme und Anwendungen
Beschränkung des Zugriffs auf Karteninhaberdaten nach dem „Need-to-know“-Prinzip
Identifizierung und Authentifizierung aller Zugriffe auf Systemkomponenten
Einschränkung des physischen Zugriffs auf Karteninhaberdaten
Protokollierung und Überwachung sämtlicher Zugriffe auf Netzressourcen und Karteninhaberdaten
Regelmäßiges Testen von Sicherheitssystemen und -prozessen
Einführung und Pflege einer Sicherheitsrichtlinie, die für alle Mitarbeitenden gilt
Um PCI DSS-Compliance zu erreichen, müssen Unternehmen diese Anforderungen konsequent umsetzen und ihre Einhaltung jährlich durch die entsprechenden PCI-DSS-Nachweise dokumentieren.
Wie erfüllt man PCI DSS?
Unternehmen haben zwei Möglichkeiten: Entweder sie übernehmen die vollständige Verantwortung für die Umsetzung und Überprüfung der PCI-DSS-Anforderungen selbst oder sie arbeiten mit einem Zahlungsdienstleister zusammen, der den Umfang der PCI-DSS-Compliance für sie reduziert.
Vorteile der PCI DSS-Compliance für Ihr Unternehmen
PCI DSS einzuhalten bedeutet nicht nur, Branchenvorgaben zu erfüllen, sondern auch Ihr Unternehmen zu schützen und das Vertrauen Ihrer Kunden zu stärken. So profitiert Ihr Geschäft:
Sicherheit
PCI DSS hilft Unternehmen, Karteninhaberdaten zu schützen, Betrug zu reduzieren und das Risiko von Datenpannen durch gezielte Angriffe zu minimieren.
Kosten
Unternehmen, die die Vorgaben nicht einhalten, müssen mit erheblichen Strafzahlungen und Gebühren der Kartenanbieter rechnen.
Reputation
PCI DSS ist ein branchenweit anerkannter Standard, der das Ansehen von Unternehmen stärkt und das Vertrauen der Kunden wahrt. Kunden können sicher sein, dass das Unternehmen Verantwortung übernimmt, was wiederum die Markenloyalität fördert.
Risiken bei Nichteinhaltung
Wenn ein Unternehmen die PCI DSS-Vorgaben nicht einhält, kann das gravierende Folgen haben. Ohne Compliance steigt das Risiko einer Verletzung von Zahlungsdaten erheblich, mit kostspieligen Konsequenzen, die von Reputationsverlust bis hin zu hohen Strafzahlungen reichen.
Ein Imageschaden durch mangelnde PCI-Compliance kann dazu führen, dass Kunden abspringen und das Vertrauen dauerhaft verloren geht.
Unternehmen sind verpflichtet, die festgelegten PCI-Compliance-Standards einzuhalten. Bei Verstößen können Gebühren zwischen 5.000 und 500.000 Dollar anfallen, abhängig davon , wie schwer die Verletzung war.
Wie hilft Adyen Ihr Unternehmen bei der PCI DSS-Compliance?
Adyen erleichtert die PCI DSS-Compliance mit sicheren Integrationen, die Ihren Aufwand minimieren und gleichzeitig eine sichere Zahlungsabwicklung sicherstellen. Unsere Lösungen decken die meisten Anforderungen ab, sodass Sie sich auf Wachstum konzentrieren können, statt auf die Verwaltung sensibler Kartendaten.
So reduzieren die wichtigsten Adyen-Integrationen Ihren PCI-DSS-Umfang:
Drop-in / Components / Plugins: Vorgefertigte Integrationen, die Zahlungsdaten sicher auf den Servern von Adyen verarbeiten. Dadurch entfällt für Ihr Unternehmen die Notwendigkeit, sensible Karteninhaberdaten selbst zu speichern oder zu verarbeiten.
Pay by Link: Versenden Sie sichere Zahlungslinks per E-Mail oder über Messaging-Plattformen. Kunden schließen ihre Transaktion in einer sicheren, von Adyen gehosteten Umgebung ab – sensible Daten gelangen so nicht in Ihre Systeme.
Hosted Checkout: Die anpassbare und sichere Zahlungsseite von Adyen verarbeitet und speichert alle Karteninhaberdaten auf der Adyen-Infrastruktur. Das reduziert Ihre PCI DSS-Verpflichtungen erheblich.
Vor Ort-Zahlungen: Sicher verschlüsselte Zahlungsterminals sorgen dafür, dass Karteninhaberdaten bei stationären Zahlungen ausschließlich über Adyen verarbeitet werden und senken so Ihren Compliance-Aufwand im Ladengeschäft.
Mit diesen Integrationen kann Ihr Unternehmen Zahlungen sicher abwickeln, ohne die Komplexität der Verarbeitung oder Speicherung sensibler Karteninhaberdaten. Dadurch wird Ihr PCI DSS-Umfang deutlich reduziert.
Umfassende Dokumentation und kontinuierliche Unterstützung
Neben sicheren Integrationen stellt Adyen Ressourcen bereit, die Unternehmen bei der Umsetzung und Aufrechterhaltung der PCI-DSS-Compliance unterstützen. Unser PCI DSS-Compliance-Guide fasst die wichtigsten Anforderungen und Best Practices zusammen und hält Sie über aktuelle Sicherheitsupdates und Branchenstandards auf dem Laufenden.