Payment Card Industry Data Security Standard (PCI DSS)

Der Payment Card Industry Data Security Standard ist ein Standard des PCI Security Standards Councils, das 2006 gegründet wurde und sich aus American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. zusammensetzt.

PCI DSS ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht. Es stellt ein verbindliches Rahmenwerk für die Entwicklung eines robusten Sicherheitsprozesses für Kreditkartendaten bereit und umfasst sowohl die Sicherheitsprävention als auch die Erkennung und angemessene Reaktion auf Sicherheitsvorfälle.

Die Regelungen umfassen eine Liste von insgesamt zwölf Anforderungen in sechs Themenbereichen, die im Detail spezifiziert und mit Prüfverfahren beschrieben werden:

  • Installation und Wartung einer FW-Konfiguration zum Schutz von Karteninhaberdaten
  • Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden
  • Schutz gespeicherter Karteninhaberdaten
  • Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze
  • Schutz sämtlicher Systeme vor Malware und regelmäßige Aktualisierung von Antivirensoftware und Programmen
  • Entwicklung und Wartung sicherer Systeme und Anwendungen
  • Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
  • Zugriff auf Systemkomponenten identifizieren und authentifizieren
  • Physischen Zugriff auf Karteninhaberdaten beschränken
  • Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
  • Regelmäßiges Testen der Sicherheitssysteme und -prozesse
  • Verwaltung einer Informationssicherheitsrichtlinie für das gesamte Personal

Umfang und Verfügbarkeit

Die PCI DSS-Anforderungen wurden im März 2022 in der Version 4.0 veröffentlicht und umfassen 356 Seiten. Sie sind auf der Homepage des PCI Security Standards Councils frei zum Download verfügbar.

Weitere Informationen

Letzte Aktualisierung: 23. Dezember 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria