Was ist PCI-Konformität?
Die PCI-Konformität (Payment Card Industry) bezieht sich auf die technischen und betrieblichen Standards, die Unternehmen einhalten müssen, um sicherzustellen, dass die von den Karteninhabern bereitgestellten Kreditkartendaten geschützt sind. Die PCI-Konformität wird vom PCI Standards Council durchgesetzt, und alle Unternehmen, die Kreditkartendaten elektronisch speichern, verarbeiten oder übertragen, müssen die Konformitätsrichtlinien einhalten.
Grundlegendes zur PCI-Konformität
Gemäß den PCI-Standards (Payment Card Industry) müssen Händler und andere Unternehmen Kreditkarteninformationen auf sichere Weise verarbeiten, um die Wahrscheinlichkeit des Diebstahls vertraulicher Finanzdaten durch Karteninhaber zu verringern. Wenn Händler mit Kreditkarteninformationen nicht ordnungsgemäß umgehen, können die Karteninformationen gehackt und für betrügerische Einkäufe verwendet werden. Darüber hinaus können vertrauliche Informationen über den Karteninhaber bei Identitätsbetrug verwendet werden.
PCI-konform zu sein, bedeutet, dass Unternehmen, die Kreditkarten ausstellen, sich konsequent an eine Reihe von Richtlinien halten. Die Richtlinien enthalten eine Reihe von Schritten, die von Kreditkartenverarbeitern kontinuierlich ausgeführt werden müssen. Unternehmen werden zunächst gebeten, ihre IT-Infrastruktur, Geschäftsprozesse und Kreditkartenabwicklungsverfahren zu bewerten, um potenzielle Bedrohungen zu identifizieren, die die Kreditkartendaten gefährden können. Die Unternehmen werden gebeten, Sicherheitslücken zu schließen und die Speicherung vertraulicher Karteninhaberdaten wie Sozialversicherungs- und Führerscheinnummern nach Möglichkeit zu vermeiden. Unternehmen müssen Compliance-Berichte für die Kartenmarken bereitstellen, mit denen sie zusammenarbeiten, z. B. American Express und VISA.
Alle Unternehmen, die Kreditkarteninformationen verarbeiten, müssen die PCI-Richtlinien einhalten, unabhängig von ihrer Größe oder der Anzahl der von ihnen verarbeiteten Kreditkartentransaktionen. Alle Unternehmen werden basierend auf der Anzahl der Transaktionen, die in einem bestimmten Zeitraum verarbeitet werden, in Händlerebenen unterteilt. Die PCI-Konformität wird vom Security Standards Council der Payment Card Industry geregelt, einer Organisation, die 2006 gegründet wurde, um die Sicherheit von Kreditkarten zu verwalten. Die Anforderungen, die als PCI DSS (Payment Card Industry Data Security Standards) bekannt sind, werden von den wichtigsten Kreditkartenunternehmen verwaltet, darunter unter anderem VISA, American Express, Discover und MasterCard.
PCI-Konformität und Datenverletzungen
Viele der größten Datenverletzungen in der Geschichte könnten vermieden worden sein, wenn die betroffenen Händler oder Finanzinstitute PCI-konform waren. Im Folgenden finden Sie einige wichtige Erkenntnisse aus dem Verizon-Bericht zur Zahlungssicherheit 2017, einer eingehenden Studie zur PCI-DSS-Konformität:
- Einzelhandelsunternehmen wiesen in allen Schlüsselbranchen die niedrigste Nachhaltigkeit der PCI-Compliance auf. Die IT-Dienstleistungsbranche erzielte die höchste vollständige Compliance aller untersuchten Schlüsselbranchen Die Studie zeigt eine "nachweisbare" Korrelation zwischen Unternehmen, die hinsichtlich der PCI-Standards auf dem neuesten Stand sind, und Unternehmen, die sich erfolgreich gegen Cyber-Bedrohungen verteidigt haben. Die Anzahl der Unternehmen, die zu 100 Prozent PCI-konform sind, ist im Jahresvergleich erheblich zugenommen.
