- Hauptnavigation
- Produkte + Leistungen
- Zertifikate + IDs
- Branchen + Lösungen
PCI DSS - Die Anforderungen
Wie sehen die Anforderungen aus und bis wann muss ich sie erfüllen?
Wenn Ihre Rechnernetze die folgenden zwölf Sicherheitsvorgaben erfüllen, gilt Ihr Unternehmen als PCI DSS-compliant:
- Installieren Sie eine Firewall zum Schutz der Daten und achten Sie auf regelmäßige Wartung.
- Verwenden Sie keine Herstellervorgaben für Systempasswörter oder andere Sicherheitsparameter.
- Schützen Sie gespeicherte Kreditkarteninhaberdaten.
- Verschlüsseln Sie die Übertragung sensibler Daten der Karteninhaber in öffentliche Netzwerke.
- Setzen Sie ein Virenschutzprogramm ein und halten Sie es mit regelmäßigen Updates auf dem neuesten Stand.
- Achten Sie auf die Entwicklung und Pflege sicherer Systeme und Anwendungen.
- Beschränken Sie die Daten-Zugriffe auf ein Minimum und ausschließlich für geschäftliche Zwecke
- Teilen Sie jeder Person mit Rechnerzugang eine eindeutige Benutzer-ID zu.
- Beschränken Sie die Zugriffsberechtigungen auf Daten von Kreditkarteninhabern.
- Protokollieren und prüfen Sie all diese Zugriffe und jene auf Netzwerk-Ressourcen.
- Führen Sie regelmäßige Prüfungen aller Sicherheitssysteme und Prozessabläufe durch.
- Stellen Sie konkrete Richtlinien für die Informationssicherheit auf und achten Sie auf deren Einhaltung.
Sicherheit mit System
Ein Katalog von 240 sogenannten „Controls“ hilft bei der Beurteilung, ob Sie diese 12 Sicherheitsvorgaben erfüllen. Nur wenn alle Controls „in place“ – also vorhanden, wirksam und wortwörtlich umgesetzt sind, gilt Ihr System als „compliant“. Unternehmen, die in Level 1 eingestuft sind, auditiert in jedem Fall ein Sicherheitsgutachter, der Qualified Security Assessor (QSA).
Die Deadlines zum Erreichen der Compliance sind in den Risiko-Management-Programmen der Kreditkartenunternehmen unterschiedlich geregelt. Überblick gibt Ihnen die folgende Tabelle:
| Level | Amex | Mastercard | Visa |
| 1 | 31.03.2008 | 30.06.2005 | 30.09.2008 |
| 2 | 31.03.2008 | 31.12.2008 | 31.12.2008 |
| 3 | keine Frist | 30.06.2005 | keine Frist |
| 4 | n/a | keine Frist | keine Frist |
