Wer “PCI DSS” liest und nicht täglich damit zu tun hat, versteht vermutlich erstmal nur Bahnhof. Verständlich. PCI bzw. PCI DSS bedeutet ‘Payment Card Industry Data Security Standard’. Dabei handelt es sich um einen von den großen Kreditkartenunternehmen entwickelten Sicherheitsstandard, den alle Unternehmen, die Kreditkartendaten speichern und/oder verarbeiten, jederzeit einhalten müssen. Das Ziel? Hohe Datensicherheit, Schutz der Verbraucher(daten) und damit die Erhaltung und Steigerung des Vertrauens in das Kreditkartenzahlungssystem.
PCI DSS - Definition, Anforderungen und häufigste Fragen
Unternehmen, die Kreditkartendaten verarbeiten, verpflichten sich zu strengen Sicherheitsstandards und PCI-Audits. In diesem Artikel sehen wir uns an, welche Rolle PCI für Unternehmen spielt.
PCI DSSS Schulungs-Demo anfordernWelche Rolle spielt PCI für Unternehmen?
Unternehmen, die Kreditkartendaten verarbeiten, müssen „PCI DSS compliant“ sein, denn sie sind auf eine Zusammenarbeit mit den entsprechenden Kreditkartenunternehmen angewiesen. Das bedeutet, sie müssen eine sichere Infrastruktur für Zahlungen aufbauen und diese durch Firewalls und viele weitere Sicherheitsmaßnahmen vor Diebstahl, Hackerangriffen und Datenverlusten schützen. Wichtig ist dabei auch eine strenge digitale und physische Zugriffskontrolle.
Doch nur mit technischen Hilfsmitteln und Infrastruktur ist es nicht getan. Mindestens genauso wichtig ist die Security-Schulung der Mitarbeitenden dieser Unternehmen, denn diese sind im Geschäftsalltag für die sichere Speicherung, Anzeige und Übertragung der sensiblen Kreditkartendaten verantwortlich.
Welche Konsequenzen drohen bei einem Verstoß?
Die strengen PCI DSS-Anforderungen müssen dringend eingehalten werden. Sollten Daten abhandenkommen oder ein PCI-Audit nicht bestanden werden, drohen ernste Konsequenzen. Hohe Geldstrafen und Imageverluste sind dabei das geringere Übel, schlimmer ist, dass Unternehmen dann keine Kreditkartendaten mehr verarbeiten dürfen und damit eine elementare Geschäftsgrundlage verlieren können.
Nun sehen wir uns etwas konkreter an, welche Sicherheitsmaßnahmen im Rahmen der PCI DSS-Compliance für Ihre Mitarbeitenden im Alltag wichtig sind.
Maßnahmen zum Schutz von Kreditkartendaten
Für alle, die Kreditkartendaten verarbeiten, sind Security-Maßnahmen notwendig, um den Schutz dieser sensiblen Daten zu gewährleisten.
Dazu zählen zum Beispiel:
- Werden Kreditkartendaten in Dokumenten oder E-Mails benötigt, müssen diese maskiert werden.
- Für die Speicherung von Kreditkartendaten dürfen ausschließlich autorisierte Systeme verwendet werden.
- Kreditkartennummern dürfen weder vollständig angezeigt noch vollständig ausgedruckt werden.
- Sensible Authentisierungscodes wie z.B. Card Verficifaction Codes (CVC) oder die PIN dürfen niemals (!) gespeichert werden.
- Kreditkartendaten sind immer mindestens "confidential" zu behandeln (bei einer Karte. Bei mehreren Karten sind die Daten sogar “strictly confidential”.
Eine Missachtung dieser Maßnahmen bzw. Regeln ist ein ganz klarer Verstoß gegen den PCI DSS Sicherheitsstandard.
Was ist eine PCI Zertifizierung?
Wie wir nun wissen, muss jedes Unternehmen, das Kreditkartendaten speichert und verarbeitet, die Anforderungen des PCI erfüllen und jährlich nachweisen. Ganz gleich, wie klein oder groß das Unternehmen ist.
Nur der Umfang der Prüfmethoden hängt davon ab, wie hoch das Transaktionsvolumen eines Unternehmens jährlich ist. Demnach gilt: Je größer das Transaktionsvolumen, desto strikter die Anforderungen.
Fazit: Deshalb ist PCI DSS-Compliance so wichtig für Unternehmen
Für den Endkunden ist die Nutzung einer Kreditkarte schnell, unkompliziert und sicher. Und das soll auch so bleiben.
Dafür müssen Maßnahmen zum Schutz der verarbeiteten Daten implementiert, kommuniziert und geschult werden. Schließlich sind es die Mitarbeitenden, die im Alltag Kreditkartendaten verarbeiten und wissen müssen, was sie dürfen und was nicht.
Damit können alle Beteiligten auf die Sicherheit Ihrer Daten vertrauen und Unternehmen, die mit Kreditkarten arbeiten, schützen diesen wichtigen Geschäftsbereich durch PCI DSS-Compliance.
Sie verarbeiten Kreditkartendaten und möchten Ihre Mitarbeitenden schulen?
Kontaktieren Sie uns gerne für weitere Details.