Video: Was ist halbbare Zahlung? 2025
Obwohl dies (noch) kein rechtlicher Auftrag ist, Der Datensicherheitsstandard der Payment Card Industry (PCI DSS) ist ein Beispiel für eine Brancheninitiative zur Festlegung und Durchsetzung von Sicherheitsstandards. PCI DSS gilt für jedes Unternehmen weltweit, das Zahlungskarten- (dh Kreditkartentransaktionen) überträgt, verarbeitet oder speichert, um Geschäfte mit Kunden abzuwickeln - unabhängig davon, ob dieses Geschäft tausende von Kreditkartentransaktionen pro Tag oder eine einzelne Transaktion pro Jahr abwickelt.
Compliance wird von den Zahlungskartenmarken (American Express, MasterCard, Visa usw.) vorgeschrieben und durchgesetzt und jede Zahlungskartenmarke verwaltet ihr eigenes Compliance-Programm.
Obwohl PCI DSS eher ein Industriestandard als ein gesetzlicher Auftrag ist, beginnen viele Staaten Gesetze einzuführen, die die PCI-Konformität (oder zumindest die Einhaltung bestimmter Bestimmungen) für Organisationen, die Geschäfte in diesem Staat tätigen, obligatorisch machen.
PCI DSS verlangt von Unternehmen, dass sie eine jährliche Selbstbewertung und einen Netzwerkscan einreichen oder Vor-Ort-PCI-Datensicherheitsbeurteilungen und vierteljährliche Netzwerkscans durchführen. Die tatsächlichen Anforderungen hängen von der Anzahl der von einer Organisation verarbeiteten Zahlungskartentransaktionen und anderen Faktoren ab, z. B. früheren Datenverlustvorfällen.
PCI DSS Version 3. 0 besteht aus sechs Grundprinzipien, unterstützt durch 12 begleitende Anforderungen und mehr als 200 spezifischen Compliance-Verfahren. Dazu gehören
- Prinzip 1: Erstellen und pflegen Sie ein sicheres Netzwerk:
- Anforderung 1: Installieren und pflegen Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen.
- Anforderung 2: Verwenden Sie keine vom Hersteller bereitgestellten Standardwerte für Systemkennwörter und andere Sicherheitsparameter.
- Prinzip 2: Karteninhaberdaten schützen:
- Anforderung 3: Schützen Sie gespeicherte Karteninhaberdaten.
- Anforderung 4: Verschlüsselt die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
- Prinzip 3: Verwalten Sie ein Schwachstellen-Verwaltungsprogramm:
- Anforderung 5: Verwenden und aktualisieren Sie regelmäßig Antivirus-Software.
- Anforderung 6: Entwickeln und pflegen Sie sichere Systeme und Anwendungen.
- Prinzip 4: Implementieren Sie starke Zugriffskontrollmaßnahmen:
- Anforderung 7: Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichen Wissenswertes.
- Anforderung 8: Weisen Sie jeder Person, die über Computerzugriff verfügt, eine eindeutige ID zu.
- Anforderung 9: Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
- Prinzip 5: Netzwerke regelmäßig überwachen und testen:
- Anforderung 10: Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.
- Anforderung 11: Testen Sie regelmäßig Sicherheitssysteme und -prozesse.
- Prinzip 6: Pflegen Sie eine Informationssicherheitsrichtlinie:
- Anforderung 12: Pflegen Sie eine Richtlinie, die die Informationssicherheit anspricht.
Strafen für Nichteinhaltung werden von den Kreditkartenmarken erhoben und umfassen die Nichtbearbeitung von Kreditkartengeschäften, Geldstrafen bis zu $ 25.000 pro Monat für geringfügige Verstöße und Bußgelder bis zu $ 500.000 für Verstöße, die zur Folge haben, dass tatsächlich verloren gegangene oder gestohlene Finanzdaten.
