Der sichere Umgang mit Zahlungskartendaten ist unerlässlich. Der Payment Card Industry Data Security Standard (PCI DSS), erstmals 2005 eingeführt und inzwischen in Version 4.0 vorliegend, dient als grundlegender Branchenleitfaden, um sicherzustellen, dass Unternehmen Kartendaten mit höchster Sicherheit verarbeiten. Aber was genau ist PCI DSS, und warum ist die Einhaltung so entscheidend? Sind finanzielle Strafen, Reputationsschäden und rechtliche Haftung mögliche Konsequenzen bei Nichteinhaltung? Hier ein detaillierter Blick auf diesen Standard und seine Rolle in Ihrer Cyber-Sicherheitsstrategie.

Was ist PCI DSS?


PCI DSS steht für Payment Card Industry Data Security Standard. Es handelt sich um eine Reihe technischer Sicherheitsanforderungen, die gewährleisten sollen, dass alle Regierungsbehörden, Unternehmen und gemeinnützige Organisationen, die Kreditkartendaten akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung gewährleisten. Diese Standards werden vom PCI Security Standards Council (PCI SSC) festgelegt und zielen darauf ab, das Risiko von Sicherheitsverletzungen und Datenkompromittierungen zu verringern, um letztlich Zahlungsbetrug zu verhindern.

Der kontinuierliche Prozess von PCI DSS


Die kontinuierliche Einhaltung von PCI DSS, oft als „Business as Usual“ (BAU) bezeichnet, betont, dass die Anforderungen in die täglichen Abläufe einer Organisation integriert und nicht nur einmal jährlich erfüllt werden sollten. Dieses Vorgehen soll sicherstellen, dass die durch PCI DSS geforderten Sicherheitsmassnahmen dauerhaft wirksam und aktiv sind. Die wichtigsten Phasen zur Erreichung und Aufrechterhaltung der Compliance sind:

Scope-Analyse


Der erste Schritt besteht darin, den Umfang Ihrer Umgebung zu verstehen, in der Kartendaten gespeichert, verarbeitet oder übertragen werden – ebenso wie die beteiligten Personen, Prozesse und Technologien. Dies bildet die Grundlage dafür, welche Assets in den PCI-DSS-Compliance-Prozess einbezogen werden müssen.

Gap-Analyse


Nach Festlegung des Scopes hilft eine Gap-Analyse dabei zu identifizieren, was bereits den Anforderungen entspricht und wo es Lücken gibt. Dieser Schritt ist entscheidend, um Sicherheitsrisiken zu beheben.

Behebung von Schwachstellen (Remediation)


In dieser Phase werden Maßnahmen zur Behebung der in der Gap-Analyse identifizierten Sicherheitslücken ergriffen, etwa durch Einführung neuer oder Anpassung bestehender Sicherheitskontrollen oder Schulungen von Mitarbeitenden.

Formale Compliance-Bewertung


Zum Abschluss erfolgt eine formelle Prüfung, um sicherzustellen, dass alle relevanten Anforderungen des PCI DSS erfüllt sind. In der Regel wird diese Bewertung von einem Qualified Security Assessor (QSA) durchgeführt – bei kleineren Unternehmen auch über einen Self-Assessment-Fragebogen.

Die verschiedenen PCI Data Security Standards


Obwohl PCI DSS der bekannteste Standard ist, ist er Teil eines grösseren Ökosystems von PCI-Sicherheitsstandards, die verschiedene Aspekte des Zahlungsverkehrs abdecken. Diese Standards bieten umfassenden Schutz für Kartendaten in unterschiedlichen Umgebungen. Sie gelten insbesondere für Dienstleister, kommen jedoch auch Karteninhabern und Händlern durch erhöhte Sicherheit und vereinfachte Compliance zugute. Eine Übersicht über einige weitere wichtige PCI-Standards:

PCI PIN


Der PCI PIN-Standard regelt die sichere Erstellung, Verteilung und Verarbeitung von PINs, einschliesslich kryptographischer Schlüsselverwaltung und PIN-Verarbeitung an Geldautomaten und Kassenterminals sowie während der Übertragung über Zahlungsnetzwerke.

PCI P2PE


Point-to-Point Encryption (P2PE) verschlüsselt Kartendaten direkt beim Einsatz der Karte und schützt diese auf dem gesamten Übertragungsweg zum Zahlungsdienstleister – eine effektive Massnahme gegen unbefugten Zugriff.

PCI 3DS


3-D Secure (3DS) ist eine zusätzliche Sicherheitsstufe für Online-Zahlungen mit Kredit- und Debitkarten. Durch verbesserte Authentifizierung soll Online-Betrug verhindert werden.

PCI TSP


Der Token Service Provider (TSP)-Standard beschreibt Richtlinien zur sicheren Erstellung, Verwaltung und Nutzung von Token, die Kreditkartennummern ersetzen. Die Token sind eindeutig und nicht rückführbar.

PCI CPP – Physisch & Logisch


Die Card Production and Provisioning (CPP)-Standards definieren Sicherheitsanforderungen für die physische Kartenherstellung sowie die logische Bereitstellung von Kartendaten, um Materialien und sensible Daten während Produktion und Verteilung zu schützen.

PCI SSF, SSS & SSLC


Das Software Security Framework (SSF) umfasst den Secure Software Standard (SSS) und den Secure Software Lifecycle Standard (SSLC). Diese definieren Anforderungen an die sichere Entwicklung und Wartung von Zahlungssoftware über ihren gesamten Lebenszyklus hinweg.

Werden Sie PCI DSS 4.0 bereit


Im März 2022 wurde die Version 4.0 des PCI DSS veröffentlicht. Der Stichtag für die Umstellung von Version 3.2.1 war der 31. März 2024. Die neue Version bringt Anpassungen zur Bewältigung neuer Bedrohungen. Diese Änderungen sind in sofort wirksame und auf März 2025 datierte Anforderungen unterteilt – ausreichend Zeit für Vorbereitung und Umsetzung.

Zur Unterstützung bietet Integrity360 folgende Dienstleistungen an:

  • Halbtägige Remote-Workshops zur Verständnisvermittlung der Änderungen und zur Planung der Umsetzung.

  • Technische Gap-Analysen zur Vorbereitung auf die neue Version.

Warum Integrity360?


Die Navigation durch die PCI-Landschaft ist komplex – aber kein Weg, den Sie allein gehen müssen. Integrity360 bietet spezialisierte Beratungsleistungen in allen Phasen: von der Scope-Analyse bis zur formellen Bewertung. Gute Gründe für eine Zusammenarbeit:

  • Fachkompetenz: Höchste technische Zertifizierungen und Marktkenntnis.

  • Internationale Präsenz: Mehrsprachig in ganz Europa tätig.

  • Unabhängigkeit: Anbieterunabhängiger Komplettanbieter für Compliance- und Sicherheitsbedürfnisse.

Warum ist PCI DSS wichtig?


PCI DSS schützt nicht nur vor Strafzahlungen – es ist entscheidend für die gesamte Sicherheitsstrategie Ihres Unternehmens. Datenpannen haben nicht nur finanzielle Auswirkungen, sondern schädigen auch den Ruf eines Unternehmens erheblich.

PCI DSS ist mehr als nur eine Checkliste. Es ist ein zentraler Bestandteil zur Wahrung von Kundenvertrauen und der sicheren Verarbeitung sensibler Kartendaten. Mit der Unterstützung von Integrity360 wird die Umsetzung von PCI DSS beherrschbar – damit Sie sich auf das Wesentliche konzentrieren können: Ihr Unternehmen sicher und erfolgreich zu führen.

Wenn Sie sich Sorgen über Cyber-Bedrohungen machen oder mehr darüber erfahren möchten, wie wir Sie bei PCI unterstützen können, kontaktieren Sie uns – wir zeigen Ihnen, wie Sie Ihre Organisation schützen können.

Contact Us