Internet Security Center
Gesamtzahl der Tests:
Diese Woche:
Heute:

PCI DSS-Konformität

Lesezeit:3 Min.

Die beliebten Kartenzahlungssysteme MasterCard und Visa verlangen nun von Dienstleistern
und verschiedene Händler, um die PCI DSS-Konformitätsanforderungen zu erfüllen.
Dieser Standard ist daher ein wichtiger Bestandteil des Online-Handels.

PCI DSS-Konformität
PCI DSS-Konformität
Demo anfordern

Warum ist die PCI DSS-Konformität wichtig?

Der vom Payment Card Industry Security Standards Council verwaltete PCI-DSS-Standard definiert die Anforderungen für Unternehmen, deren Informationssysteme Zahlungskartendaten verarbeiten, speichern oder übertragen. Diese Anforderungen gelten ebenso für Unternehmen, die die Sicherheit dieser sensiblen Zahlungsinformationen in irgendeiner Weise beeinflussen können. Alle Organisationen, unabhängig davon, ob es sich um kommerzielle Unternehmen handelt oder nicht, die an der Verarbeitung von Zahlungskarten beteiligt sind, müssen die in diesem Dokument enthaltenen Anforderungen erfüllen. Unternehmen mit Sitz in jedem Land der Welt bilden hier keine Ausnahme vom PCI-DSS-Standard.

Möchten Sie ein tiefgreifendes Verständnis aller modernen Aspekte der PCI DSS-Compliance erlangen?
Lesen Sie diesen Artikel sorgfältig durch und Lesezeichen setzen, um später wieder darauf zurückzugreifen. Wir aktualisieren diese Seite regelmäßig.

Um zu verstehen, ob Ihr Unternehmen dem PCI DSS-Compliance-Standard nachkommen muss, müssen Sie nur zwei einfache Fragen beantworten:

  1. Speichert, verarbeitet oder überträgt Ihr Unternehmen Zahlungskartendaten?
  2. Kann Ihr Unternehmen die Sicherheit der Zahlungskartendaten beeinflussen?

Eine positive Antwort auf eine der beiden Fragen bedeutet, dass Ihr Unternehmen die in diesem Dokument festgelegten Regeln einhalten muss.

Allgemeine PCI DSS-Konformitätsanforderungen

Tatsächlich ist das Dokument mit den PCI-DSS-Konformitätsanforderungen recht umfangreich und umfasst etwa 440 verschiedene Überprüfungsverfahren, sodass sie sehr lange aufgezählt werden könnten. Wir nennen hier nur einige der wichtigsten:

  • Kontrollieren Sie den Zugriff auf Zahlungskartendaten.
  • Authentifizierungsmechanismen
  • Konfiguration von Komponenten der Informationsinfrastruktur.
  • Netzwerkschutz für Computer
  • Physischer Schutz der Informationsinfrastruktur.

Sie finden alle detaillierten Informationen, indem Sie das Dokument direkt auf der Community Document Library im Internet einsehen.

PCI DSS Compliance Certification

Damit Ihr Unternehmen die PCI DSS-Zertifizierung erhalten kann, müssen Sie eines von drei Bewertungsverfahren durchführen:

  1. Externe Prüfung (QSA)
    Eine externe Prüfung wird von einer Prüfungsgesellschaft durchgeführt, die vom PCI SSC zertifiziert sein muss. Während der Prüfung werden Nachweise für die Einhaltung aller Anforderungen durch das Unternehmen gesammelt. Die Prüfungsergebnisse werden für einen bestimmten Zeitraum gespeichert, dessen Dauer vom Umfang der Organisation abhängt, nach dem erneut eine externe Prüfung durchzuführen ist.
  2. Interne Revision (ISA)
    Die interne Prüfung der ISA wird von einem internen Experten durchgeführt, der im Rahmen des PCI SSC Council-Programms geschult und zertifiziert wurde.
  3. Selbstbewertung (SAQ)
    Die PCI DSS-Selbstbewertung (SAQ) wird vom Unternehmen selbst durchgeführt, indem ein Selbstbewertungsbogen ausgefüllt wird. Diese Audit-Methode erfordert keinen Nachweis der Einhaltung standardisierter Vorgaben.

Um zu verstehen, welche Art von PCI DSS Compliance-Audit Sie in Ihrem Unternehmen durchführen müssen, sollten Sie die Unternehmensstruktur betrachten und die Anzahl der jährlichen Transaktionen schätzen. Gemäß der Visa-Klassifizierung ist bei einem Vertriebs- und Dienstleistungsunternehmen, das jährlich mindestens 6 Millionen Transaktionen durchführt, jedes Jahr ein QSA-Audit und vierteljährlich ein ASV-Scan erforderlich.

Alle PCI-DSS-Anforderungen sind schwer zu erfüllen und erfordern Aufwand, Zeit, Investitionen sowie PCI-DSS-Penetrationstests. Sie sollten sich an eine bestimmte Reihenfolge für die PCI-DSS-Konformitätsprüfung halten, um maximale Effizienz und vollständige Einhaltung der Community-Anforderungen zu gewährleisten.

Um die PCI-DSS-Anforderungen zu erfüllen, müssen Sie zunächst eine vollständige Bestandsaufnahme der digitalen Assets Ihres Unternehmens durchführen, um alle möglichen Schwachstellen in der Cybersicherheit zu erkennen.

Das Mieten einer Cloud wäre gemäß den geltenden Regeln einfacher. PCI DSS Cloud ist ein spezieller Dienst, der Organisationen, die ihre Infrastruktur bei einem zertifizierten Cloud-Anbieter eingerichtet haben, sicheres Arbeiten mit Zahlungskarten ermöglicht. Bei der Wahl eines solchen Dienstes erfüllt das Unternehmen automatisch einen Großteil der PCI DSS-Compliance-Anforderungen und überträgt die Zertifizierungspflicht an den Anbieter. Der Anbieter übernimmt einen Teil der Verantwortlichkeiten, beispielsweise die Verwaltung der vorhandenen Betriebssysteme und den physischen Schutz der installierten Server.

Die Nutzung einer zertifizierten Cloud vereinfacht das Leben der Organisation erheblich. Früher mussten Organisationen ihre eigene Informationsinfrastruktur bereitstellen, ihren eigenen Serverplatz schaffen und alle Anforderungen selbst erfüllen. Heute können Sie einen Teil der Anforderungen an zertifizierte Anbieter übertragen. Dies erhöht das Sicherheitsniveau der Zahlungsdatenverarbeitungsumgebung und minimiert die Risiken finanzieller Verluste durch mögliche unangenehme Vorfälle im Bereich der Informationssicherheit.

Durch den Einsatz modernster Technologien zur Schutz aller digitalen Assets und damit der gesamten Cybersicherheit Ihres Unternehmens können Sie die Einhaltung der PCI DSS-Normen gewährleisten. Das PCI DSS-Zertifikat vermittelt Ihnen die Gewissheit, dass Zahlungsdaten sicher geschützt sind, und gibt Ihren Kunden Vertrauen in die Zuverlässigkeit Ihres Unternehmens bei der Verarbeitung ihrer Kredit- oder Debitkartendaten.

Weitere Ressourcen

  • Erfahren Sie mehr über KI-gestütztes Angriffsflächenmanagement mit ImmuniWeb® Discovery.
  • Erfahren Sie mehr über KI-gestützte Penetrationstests für Anwendungen mit ImmuniWeb.
  • Erfahren Sie mehr über die Möglichkeiten des ImmuniWeb Partner Programms.
  • Folgen Sie uns auf LinkedIn, X, Telegram und WhatsApp
Free Demo Auf Twitter teilen Auf LinkedIn teilen

Jetzt Ihre Cyber-Risiken reduzieren

Bitte füllen Sie die unten rot markierten Felder aus.

Holen Sie sich Ihre kostenlose Demo
von ImmuniWeb® AI Platform

  • Erhalten Sie Ihre kostenlose Cyber-Risikobewertung
  • Starten Sie eine kostenlose Testversion der ImmuniWeb-Produkte
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
  • Keine Verpflichtungen
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Diese Website verwendet Cookies, um Ihnen ein besseres Surferlebnis zu bieten. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.

Eine Frage stellen