PCI für Hotels
Kostenlose Anfragen an unsere Lieferanten stellen und Preisinformationen erhalten

Payment Card Industry Data Security Standards - PCI

Aktualisiert am: 27.02.2018

pci payment card industry data security standard

Hotels, Restaurants und andere Unternehmen, die Kreditkarten als Zahlungsmittel akzeptieren, sind  verpflichtet, die Sicherheitsvorgaben der Kreditkartenunternehmen einzuhalten.

PCI Definition

Die ‚Payment Card Industry Data Security Standards"' (Abkürzung PCI DSS) sind die weltweit gültigen Sicherheitsstandards der führenden internationalen Kreditkartenfirmen. Sie enthalten verbindliche Regeln für alle Unternehmen, die Kartendaten verarbeiten, damit diese besser vor Missbrauch geschützt werden können. Die Einhaltung der Richtlinien hilft z. B. Hoteliers und Gastronomen, Schwachstellen und Sicherheitslücken in ihren Systemen und Netzwerken aufzudecken und sich so besser vor kriminellen Angriffen aus dem Internet zu schützen.

Die Regelungen des payment card industry data security standard bestehen aus einer Liste von zwölf Anforderungen an die Unternehmen:

  •    1. Nutzung einer Firewall zum Schutz der Daten
  •    2. Ändern von Passwörtern nach der Auslieferung einer Software/ Anwendung
  •    3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  •    4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern im Internet
  •    5. Einsatz und Updates von Virenschutzprogrammen
  •    6. Pflege sicherer Systeme und Anwendungen
  •    7. Einschränken von Datenzugriffen auf das Notwendige
  •    8. Individuelle Benutzerkennung für jede Person mit Rechnerzugang
  •    9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  •   10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  •   11. Routinenfür Prüfungen aller Sicherheitssysteme und -prozesse
  •   12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Die Payment Standards basieren auf der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC), dem MasterCard Site-Data-Protection-Programm (SDP), den JCB-Sicherheitsregeln und dem Visa-Account-Information-Security-Programm AIS und dessen Schwesterprogramm CISP.

Die Einhaltung der Regeln wird in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

    * Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als "Level 1" eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.

    * Händler oder Dienstleister, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen (Self-Assessment Questionnaire, SAQ)) ausfüllen.

    * E-Commerce Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln (Level 3 und 4), müssen ab dem 1. Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachweisen. (Visa Member Letter VE 33/08 vom 24. September 2008).

Laden Sie hier den Hotelleitfaden des Hotelverbands Deutschland (IHA) zum Thema herunter.

Verwandte Artikel

Tipps

  • News veröffentlichen
  • Florian Sailer - Payment Card Industry Data Security Standard mit Microsoft Windows Server 2008.Paperback

                            

Payment Card Industry Data Security Standards - ein Begriff der Finanzen

Tags: pci ssc data security standardsm pci industry, Was ist pci?, Definition PCI, pci payment card, pci compliance 2013, the payment card industry data security standard, pci payment card industry, data security standard