Regulation
PCI DSS
Der Payment Card Industry Data Security Standard, der vom Schema vorgeschriebene Rahmen für die Handhabung von Karteninhaberdaten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit verbindlicher Rahmen, der von den großen Kartenorganisationen – Visa, Mastercard, American Express, Discover und JCB – etabliert wurde, um Umgebungen mit Karteninhaberdaten zu sichern. Er gilt für jede Entität, die primäre Kontonummern (PAN) speichert, verarbeitet oder überträgt, und erfordert die Einhaltung von zwölf grundlegenden technischen und operativen Anforderungen, die Netzwerksicherheit, Zugriffskontrollen und Verschlüsselung umfassen. Die Compliance-Level werden durch das jährliche Transaktionsvolumen bestimmt, von Level 4 für kleine Händler bis zu Level 1 für solche, die über 6 Millionen Transaktionen verarbeiten. Die meisten Händler versuchen, ihren Compliance-Aufwand durch Techniken zur Umfangreduzierung zu verringern, wie z. B. die Verwendung von gehosteten Zahlungsseiten oder iFrame-Integrationen, die von einem Acquirer oder PSP bereitgestellt werden. Dies stellt sicher, dass sensible Daten nicht auf der Infrastruktur des Händlers verbleiben, was es ihnen in der Regel ermöglicht, die Sicherheit durch einen vereinfachten Self-Assessment Questionnaire (SAQ) anstatt einer vollständigen Prüfung durch einen Quality Security Assessor (QSA) zu validieren.
Häufig gestellte
Welche Konsequenzen hat die Nichteinhaltung von PCI DSS?
Die Nichteinhaltung kann zu erheblichen monatlichen Bußgeldern von den Kartensystemen führen, die oft über den Acquirer weitergegeben werden. Im Falle einer Datenschutzverletzung können nicht konforme Unternehmen höhere Transaktionsgebühren, rechtliche Haftungen und den potenziellen Widerruf ihres Händlerkontos (MID) befürchten.
Wie verändert Version 4.0 die Compliance-Landschaft für Händler?
PCI DSS v4.0 führt strengere Anforderungen an die Multi-Faktor-Authentifizierung (MFA) und häufigere Tests von Sicherheitskontrollen ein. Es verschiebt sich auch hin zu einem risikobasierten Ansatz, der Organisationen mehr Flexibilität bei der Nachweisführung bestimmter Sicherheitsziele durch einen maßgeschneiderten Validierungsansatz ermöglicht.
Verwandte Begriffe
Ersetzen sensibler Kartendaten durch einen nicht-sensiblen Ersatzwert, der ohne PCI-Umfang gespeichert und wiederverwendet werden kann.
Ein PCI-DSS-konformer Speicher für tokenisierte Kartendaten, der es einem Händler ermöglicht, eine Karte erneut zu belasten, ohne die PAN zu speichern.
Bereit für Geschwindigkeit?
Erzählen Sie uns von Ihrem Unternehmen. Wir vermitteln Ihnen die passenden Acquirer-Partner und den richtigen Weg, normalerweise innerhalb einer Woche.
