PCI

Was ist PCI?

PCI, kurz für die Payment Card Industryist ein globaler Standard zum Schutz vertraulicher Zahlungskarteninformationen. Das PCI Security Standards Council (PCI SSC) wurde 2006 von großen Kreditkartenunternehmen wie Visa, Mastercard, American Express, Discover und JCB International gegründet. Sein Hauptziel ist die Entwicklung und Verbesserung von Sicherheitsstandards zum Schutz der Karteninhaberdaten.

Bedeutung der PCI-Konformität

Die Einhaltung der Standards der Kreditkartenbranche ist aus mehreren Gründen von entscheidender Bedeutung:

• Datensicherheit: Die PCI-Konformität schützt vertrauliche Zahlungskarteninformationen vor Diebstahl und Betrug.
• Vertrauen und Ruf: Die Einhaltung der Standards der Kreditkartenbranche stärkt das Vertrauen der Kunden in die Fähigkeit eines Unternehmens, seine Finanzdaten sicher zu handhaben.
• Rechtliche Anforderungen: In vielen Ländern gibt es Gesetze und Bestimmungen, die die Einhaltung der Vorschriften der Kreditkartenindustrie für Unternehmen vorschreiben, die mit Kreditkartendaten arbeiten. Eine Nichteinhaltung kann rechtliche Konsequenzen nach sich ziehen.
• Finanzielle Folgen: Bei Nichteinhaltung drohen Geldbußen durch Aufsichtsbehörden und Strafen durch Kreditkartenunternehmen.

Branchenstandards für Zahlungskarten

PCI ist keine einzelne Zertifizierung, sondern eine Reihe fortlaufender Anforderungen. Der PCI Data Security Standard (PCI DSS) ist das Kerngerüst für die Einhaltung der Vorschriften der Kreditkartenbranche. Er besteht aus zwölf Anforderungen, die in sechs Kategorien unterteilt sind:

Wer muss PCI einhalten?

Jedes Unternehmen, das Karteninhaberinformationen speichert, verarbeitet oder sendet, muss die PCI DSS-Vorschriften einhalten. Dies gilt weltweit, unabhängig von der Unternehmensgröße oder der Anzahl der abgewickelten Transaktionen. Hier ist eine Aufschlüsselung, wer in der Regel die Compliance der Kreditkartenbranche benötigt:

• Kaufleute: Dazu gehören alle Unternehmen, die Zahlungskarten (Kredit-, Debit-, Prepaid-Karten) persönlich, online, telefonisch oder über eine mobile App akzeptieren.
• Dienstleister: Jedes Unternehmen, das im Auftrag von Händlern Karteninhaberdaten speichert, überträgt oder verarbeitet, muss diese Vorschriften einhalten. Dazu gehören Zahlungsabwickler, Gateways und alle am Zahlungsfluss beteiligten Drittparteien.

Auch wenn Sie die Zahlungsabwicklung auslagern, müssen Sie sicherstellen, dass der von Ihnen gewählte Anbieter PCI-konform ist.

Wer überwacht PCI?

Die Organisation, die PCI überwacht, ist das Payment Card Industry Security Standards Council (PCI SSC), das die Sicherheitsstandards verwaltet und weiterentwickelt. Das PCI SSC ist ein unabhängiges Gremium, das von großen Zahlungskartenunternehmen wie Visa, Mastercard, American Express, Discover und JCB International gegründet wurde.

Bußgeld wegen Nichteinhaltung

Es gibt keine festgelegte Geldstrafe für die Nichteinhaltung der PCI-Standards. Die Strafen werden von Zahlungsmarken (Visa, Mastercard, American Express, Discover und JCB International) und den erwerbenden Banken verhängt, nicht direkt vom PCI SSC selbst. Folgendes können Sie erwarten:

• Bußgelder: Diese können zwischen 5,000 und 100,000 US-Dollar pro Monat betragen, abhängig von der Schwere der Verstöße und davon, wie lange sie andauern. Die Bußgelder steigen in der Regel, je länger Sie gegen die Vorschriften verstoßen.
• Höhere Transaktionsgebühren: Die Nichteinhaltung kann auch dazu führen, dass Ihr Zahlungsabwickler Ihnen für jede von Ihnen abgewickelte Transaktion höhere Gebühren berechnet.
• Beendigung des Dienstes: In extremen Fällen kann Ihre erwerbende Bank Ihnen die Möglichkeit zur Annahme von Kartenzahlungen vollständig entziehen.

Wie erreicht man PCI-Konformität?

Um die Compliance mit den Vorschriften der Kreditkartenbranche zu erreichen, müssen Unternehmen:

• Verstehen Sie die für Ihre Umgebung geltenden PCI DSS-Anforderungen.
• Führen Sie eine gründliche Bewertung Ihrer Systeme und Prozesse durch, um Schwachstellen und Lücken zu identifizieren.
• Implementieren Sie geeignete Sicherheitskontrollen und -maßnahmen, um identifizierte Risiken zu bewältigen.
• Überwachen, testen und aktualisieren Sie Sicherheitssysteme regelmäßig, um eine fortlaufende Konformität sicherzustellen.
• Arbeiten Sie mit qualifizierten Sicherheitsgutachtern (QSAs) oder internen Sicherheitsgutachtern (ISAs) zusammen, um die Konformität durch Audits und Bewertungen zu validieren.

Zusammenfassend lässt sich sagen, dass die Einhaltung der Standards der Zahlungskartenbranche für jedes Unternehmen, das Kreditkartendaten verarbeitet, speichert oder überträgt, von entscheidender Bedeutung ist. Durch die Einhaltung der Standards der Zahlungskartenbranche können Unternehmen das Risiko von Datenlecks verringern, ihren Ruf schützen und das Vertrauen ihrer Kunden aufrechterhalten. Es ist von entscheidender Bedeutung, über die neuesten PCI-Anforderungen auf dem Laufenden zu bleiben und die Sicherheitsmaßnahmen kontinuierlich zu verbessern, um sich an die sich entwickelnden Bedrohungen in der Zahlungskartenbranche anzupassen.

FAQ