PCI:DSS Level 1

Payment Lexikon

PCI:DSS Level 1


Das PCI:DSS Level 1 ist die höchstmögliche Zertifizierung für die Abwicklung von Kreditkartentransaktionen. Die Bestimmungen der Zertifizierungen unterteilen sich in 4 Kategorien, also von Level 4 bis Level 1, wobei Level 1 dementsprechend die strengsten Anforderungen darstellt.

Was bedeutet PCI DSS?

PCI DSS, in weiteren Varianten auch PCI:DSS und PCI-DSS, ist die Abkürzung für “Payment Card Industry Data Security Standard“ und ist ein Regelwerk für den Zahlungsverkehr mit Kreditkarten. Der PCI:DSS basiert auf der MasterCard SDP (Site Data Protection), dem Visa CISP (Cardholder Information Security Program), der beiden AMEX-DSOP (Discover Security Operating Policy) & AMEX DISC (Discover Information Security and Compliance) und der Visa AIS (Account Information Security) sowie auf den JCB-Sicherheitsregularien und existiert seit dem Jahr 2006. Es handelt sich dabei also um ein extrem aufwendiges und komplexes Sicherheitsprogramm zum Schutz der Datensicherheit bei Kreditkartenzahlungen. In regelmäßigen Abständen finden sogenannte Pen-Tests (Penetrationtest, Schwachstellen-Scan) und Audits (Sicherheitsprüfung, Begehung) vor Ort statt. Diese Tests werden von einem Scanvendor (Approved Scanning Vendor = ASV), der von MasterCard extra zugelassen wird, durchgeführt. Die Audits werden von einem von Visa zugelassenem Unternehmen (Qualified Security Assessor = QSA) vorgenommen.

Die Anforderungen des Payment Card Industry Data Security Standards bestehen aus mindestens 12 Punkten für die IT-Infrastruktur eines Unternehmens:

  1. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
  2. Entwicklung und Pflege sicherer Systeme und Anwendungen
  3. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  4. Einschränken von Datenzugriffen auf das Notwendige
  5. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  6. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  7. Installation und Pflege einer Firewall zum Schutz der Daten
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  10. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  11. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  12. Schutz der gespeicherten Daten von Kreditkarteninhabern

Der PCI DSS wird von den Kreditkartenunternehmen zwingend vorgeschrieben. Werden Kreditkartentransaktionen ohne Zertifizierung abgewickelt, droht die Kündigung des Kreditkartenakzeptanzvertrags und hohe Strafzahlungen.

Was bedeutet PCI:DSS Level 1 für einen Händler?

Händler, die Kreditkartentransaktionen online, also im E-Commerce, abwickeln wollen, sollten einen entsprechend nach PCI DSS Level 1 zertifizierten Payment-Service-Provider beauftragen. Zum einen hat das den Vorteil, dass man nicht selbst den hohen Aufwand für die Zertifizierung betreiben muss und zum anderen halten die Payment-Service-Provider ihre Systeme immer auf dem aktuellsten Stand. Das wiederum kommt der eigenen Sicherheit und der des Käufers sowie der Reputation des Online-Shops sehr stark zu gute.