- Anzeigen -

Sie sind hier: Home » Recht » Deutschland » Standards und Regeln

PCI DDS: Hohe Sicherheitshürden für Webshops


Ab 30. September 2007 treten die internationalen Richtlinien (Payment Card Industry – PCI) der Kreditkartenindustrie in Kraft
Alle Webshop-Besitzer, Finanzdienstleister und Unternehmen, die mit Kreditkarten-Transaktionen arbeiten, müssen dann beweisen, dass ihr Sicherheitskonzept den Auflagen standhält


(27.09.07) - Jetzt wird’s ernst: Webshop-Besitzer und alle Unternehmen, die mit Kreditkarten-Transaktionen arbeiten, müssen sich ab dem 30. September zwingend an die Datensicherheitsrichtlinien der Kreditkartenindustrie halten. Dann tritt der so genannte Payment Card Industry Data Security Standard (PCI DSS) verbindlich in Kraft.

Dieser weltweite Zusammenschluss von derzeit 28 Anbietern der IT-Sicherheitsbranche hat sich die verbesserte Sicherheit und Vertraulichkeit von Kreditkartendaten zum Ziel gesetzt. Die PCI-SVA-Mitglieder unterstützen den Datensicherheitsstandard der Kreditkartenindustrie. Das Qualitätssiegel des eCommerce wurde von den größten Kreditkartenanbietern, darunter Visa International und MasterCard Worldwide, ins Leben gerufen, um einen global gültigen Standard zur Erhöhung der Datensicherheit zu schaffen. 'Der Sicherheitsstandard der Kreditkartenindustrie ist für alle Unternehmen, die im Zahlungsverkehr mit Kreditkarten arbeiten, verbindlich.

Durch den Zusammenschluss der Sicherheitsanbieter erfahren alle Unternehmen, die PCI-konform sein müssen, welche Lösungen ihnen beim Einhalten der Sicherheitsvorgaben helfen. Der Datensicherheitsstandard der Kreditkartenindustrie ist der weltweit umfassendste und verständlichste Richtlinienkatalog für die Sicherheit und Vertraulichkeit von Webanwendungen.

Wer die zwölf Sicherheitsanforderungen an die Rechnernetze nicht einhält, dem drohen Geldbußen, rechtliche Konsequenzen und Imageverlust. Je nach Umsatzvolumen werden Strafen verhängt, Einschränkungen ausgesprochen oder sogar die Annahme von Kreditkarten untersagt. Große eShop-Händler und Dienstleister, die mehr als sechs Millionen Kreditkartentransaktionen pro Jahr abwickeln, müssen die Sicherheit ihrer Netwerke alle drei Monate extern prüfen lassen.

Umsatz- und Käuferzahlen wachsen im Internet kontinuierlich. Nach Angaben des Bundesverbandes der Digitalen Wirtschaft (BVDW) gab es 2006 in Deutschland über 27 Millionen Online-Shopper. 2001 waren es noch weniger als 13 Millionen. Das Risiko, Opfer von Internet-Kriminellen zu werden, wird demnach immer größer.

Der Regelkatalog der Kreditkartenindustrie will die Fälle von Datenmissbrauch, die bei der Verwaltung von Kundendaten auftreten können, minimieren und gleichzeitig das Vertrauen der Kunden in die Online-Angebote vergrößern.

Das PCI DSS-Regelwerk lässt sich in drei Hauptgruppen einteilen:
>> Zunächst müssen Unternehmen alle Protokolldaten erfassen und speichern, um sich so auf die Sicherheitsanalyse vorzubereiten.
>> Des Weiteren sollen sie alle Aktivitäten protokollieren, um so die PCI DSS-Compliance nachweisen zu können.
>> Drittens müssen Administratoren stets über Datenzugriff und ihre Verwendung informiert sein. Dies setzt die Überwachung und Ausgabe von Warnungen voraus.

Der Payment Card Industry Data Security Standard (PCI DSS)
1. Installation und Pflege einer Firewall zur Absicherung aller Daten
2. Kennwörter und andere Sicherheitseinstellungen müssen nach der Werksauslieferung geändert werden
3. Sicherung der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer einmaligen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Kontinuierliche Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführung unternehmensweit einheitlicher Sicherheitsrichtlinien

Über die Payment Card Industry Security Vendor Alliance (PCI SVA)
Die Payment Card Industry Security Vendor Alliance (PCI SVA) setzt sich aus derzeit 28 Firmen zusammen, die die zwölf Richtlinien des Payment Card Industry Data Security Standards (PCI DSS) mit ihren Produkten unterstützen. Firmen, die sich mit dem Thema PCI befassen müssen, haben hierdurch den Vorteil, dass die Lösungen der PCI SVA-Mitglieder den Auditoren gut bekannt sind. Dies vereinfacht das Vorgehen beim Audit. Die Mitglieder der PCI SVA unterstützen darüber hinaus Firmen, die die Auflage der Kreditkartenindustrie erfüllen müssen, mit Workshops, Studien und weiterführenden Informationen.
(Visonys: ra)

Lesen Sie auch:
PCI: Regelwerk im Zahlungsverkehr

Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Standards und Regeln

  • Einführung von Smart Grid-Anwendungen

    IEEE, der weltweit größte Verband zur Förderung von Technologien, gibt bekannt, dass der Standard IEEE P1901.2T-2013 für Niedrigfrequenz-Powerline-Kommunikation (PLC) unter 500 kHz für Smart Grid-Anwendungen erfolgreich die erste Freigaberunde abgeschlossen hat. Nach seiner endgültigen Genehmigung soll der Standard eine neue Generation der PLC-Technologie für Übertragungsfrequenzen von weniger als 500 kHz spezifizieren. Damit ist er für eine Vielzahl existierender sowie neu entstehender Smart Grid-Anwendungen relevant.

  • MES-Kennzahlen eindeutig definiert

    Mit der ISO/DIS 22400-2 steht ab sofort eine internationale, gültige Leitlinie für die Definition, Beschreibung und Interpretation von MES-Kennzahlen zur Verfügung. Die Entwurfsfassung der Norm beinhaltet 34 Key Performance Indicators (KPI) aus den Bereichen Produktion, Qualität, Instandhaltung und Lager/Logistik für Unternehmen aus der diskreten Fertigung, der Prozessindustrie sowie der hybriden Fertigung. Hinzu kommt ein relationales Wirkmodell, das über eine Kennzahlenmatrix und Beziehungsdiagramme die Abhängigkeiten zwischen den KPI und ihren Faktoren untereinander inhaltlich und organisatorisch beschreibt.

  • Netzanbindung dezentraler Energiesysteme

    Die IEEE Standards Association (IEEE-SA) gibt die Freigabe des Standards "1547.4" bekannt. "IEEE 1547.4" bezeichnet einen neuen Leitfaden für die Entwicklung, den Betrieb sowie die Integration dezentraler Energieressourcen und Insellösungen, mit Elektrizitätssystemen.

  • Entscheidung in der Standardisierungspolitik

    Ein aktueller EU-Verordnungsentwurf zur Europäischen Normung sieht eine Sonderregelung für den ITK-Sektor vor. Demnach sollen künftig auch Standards von nicht-staatlich anerkannten Normungsorganisationen in das europäische Normungssystem übernommen werden können. Damit werden öffentliche Ausschreibungen von ITK-Produkten und -Dienstleistungen einfacher und transparenter.

  • Vertrauenswürdige digitale Langzeitspeicherung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 1. März 2011 auf seiner Homepage die - mit Hilfe einer zusammen mit dem BSI und dem VOI-Verband Organisations- und Informationssysteme e.V. initiierten Arbeitsgruppe unter Moderation von Herrn Prof. Hackel (Physikalisch-Technische Bundesanstalt - PTB) - grundlegend überarbeitete Version 1.1 der Technischen Richtlinie 03125 "Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR)" – vormals TR-VELS (Vertrauenswürdige elektronische Langzeitspeicherung) veröffentlicht.