Hotels, Restaurants und andere Unternehmen, die Kreditkarten als Zahlungsmittel akzeptieren, sind verpflichtet, die Sicherheitsvorgaben der Kreditkartenunternehmen einzuhalten.
Was heißt PCI? Definition:
Die ‚Payment Card Industry Data Security Standards"' (Abkürzung PCI DSS) sind die weltweit gültigen Sicherheitsstandards der führenden internationalen Kreditkartenfirmen. Sie enthalten verbindliche Regeln für alle Unternehmen, die Kartendaten verarbeiten, damit diese besser vor Missbrauch geschützt werden können. Die Einhaltung der Richtlinien hilft z. B. Hoteliers und Gastronomen, Schwachstellen und Sicherheitslücken in ihren Systemen und Netzwerken aufzudecken und sich so besser vor kriminellen Angriffen aus dem Internet zu schützen.
Werbung
Was bedeutet PCI Payment Card Industry Data Security Standards genau?
Die Regelungen des Payment Card Industry Data Security Standard bestehen aus einer Liste von zwölf Anforderungen an die Unternehmen:
- 1. Nutzung einer Firewall zum Schutz der Daten
- 2. Ändern von Passwörtern nach der Auslieferung einer Software/ Anwendung
- 3. Schutz der gespeicherten Daten von Kreditkarteninhabern
- 4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern im Internet
- 5. Einsatz und Updates von Virenschutzprogrammen
- 6. Pflege sicherer Systeme und Anwendungen
- 7. Einschränken von Datenzugriffen auf das Notwendige
- 8. Individuelle Benutzerkennung für jede Person mit Rechnerzugang
- 9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
- 10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
- 11. Routinen für Prüfungen aller Sicherheitssysteme und -prozesse
- 12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
Die Payment Standards basieren auf der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC), dem MasterCard Site-Data-Protection-Programm (SDP), den JCB-Sicherheitsregeln und dem Visa-Account-Information-Security-Programm AIS und dessen Schwesterprogramm CISP.
Die Einhaltung der Regeln wird in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:
* Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als "Level 1" eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheits-Scans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.
* Händler oder Dienstleister, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen (Self-Assessment Questionnaire, SAQ)) ausfüllen.
* E-Commerce Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln (Level 3 und 4), müssen ab dem 1. Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachweisen. (Visa Member Letter VE 33/08 vom 24. September 2008).
Laden Sie hier den Hotelleitfaden des Hotelverbands Deutschland (IHA) zum Thema herunter.
Verwandter Artikel
Tipps
Payment Card Industry Data Security Standards - ein Begriff der Finanzen
Tags: pci ssc data security standardsm pci industry, Was ist pci?, Definition PCI, pci payment card, pci compliance 2013, the payment card industry data security standard, pci payment card industry, data security standard