Hotels, Restaurants und andere Unternehmen, die Kreditkarten als Zahlungsmittel akzeptieren, sind  verpflichtet, die Sicherheitsvorgaben der Kreditkartenunternehmen einzuhalten.

Die ‚Payment Card Industry Data Security Standards"' (Abkürzung PCI DSS) sind die weltweit gültigen Sicherheitsstandards der führenden internationalen Kreditkartenfirmen.

Sie enthalten verbindliche Regeln für alle Unternehmen, die Kartendaten verarbeiten, damit diese besser vor Missbrauch geschützt werden können. Die Einhaltung der Richtlinien hilft z. B. Hoteliers und Gastronomen, Schwachstellen und Sicherheitslücken in ihren Systemen und Netzwerken aufzudecken und sich so besser vor kriminellen Angriffen aus dem Internet zu schützen.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Unternehmen:

•    1. Nutzung einer Firewall zum Schutz der Daten
•    2. Ändern von Passwörtern nach der Auslieferung einer Software/ Anwendung
•    3. Schutz der gespeicherten Daten von Kreditkarteninhabern
•    4. Verschlüsselte Ãœbertragung sensibler Daten von Kreditkarteninhabern im Internet
•    5. Einsatz und Updates von Virenschutzprogrammen
•    6. Pflege sicherer Systeme und Anwendungen
•    7. Einschränken von Datenzugriffen auf das Notwendige
•    8. Individuelle Benutzerkennung für jede Person mit Rechnerzugang
•    9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
•   10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
•   11. Routinenfür Prüfungen aller Sicherheitssysteme und -prozesse
•   12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Die Payment Standards basieren auf der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC), dem MasterCard Site-Data-Protection-Programm (SDP), den JCB-Sicherheitsregeln und dem Visa-Account-Information-Security-Programm AIS und dessen Schwesterprogramm CISP.

Die Einhaltung der Regeln wird in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

    * Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als "Level 1" eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.

    * Händler oder Dienstleister, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen (Self-Assessment Questionnaire, SAQ)) ausfüllen.

    * E-Commerce Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln (Level 3 und 4), müssen ab dem 1. Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachweisen. (Visa Member Letter VE 33/08 vom 24. September 2008).

Buch-Tipp Libri: Florian Sailer - Payment Card Industry Data Security Standard mit Microsoft Windows Server 2008.Paperback

Buch bei Amazon:

                            

Payment Card Industry Data Security Standards - ein Begriff der Finanzen