Die Kartenorganisationen – vorweg Visa und MasterCard - haben angesichts der steigenden Zahl von Kartendatenmissbräuchen PCI DSS initiiert, um die Sicherheit bei Kartenzahlungen zu erhöhen und dadurch Händler und Karteninhaber noch wirkungsvoller zu schützen.
Wer ist verpflichtet, PCI DSS einzuhalten?
Grundsätzlich sind alle Parteien, die an der Abwicklung von Kartentransaktionen beteiligt sind, zur Einhaltung des Sicherheitsstandards verpflichtet:
- Händler, die Kartendaten übermitteln, verarbeiten und/oder speichern
- Payment Service Provider (PSP; Unternehmen, die im Auftrag eines Händlers Kartenzahlungen abwickeln)
- Data Storage Entities (DSE; Unternehmen, die im Auftrag eines Händlers Kartendaten speichern)
- Acquirer wie SIX Multipay
Wie wird kontrolliert, ob PCI DSS eingehalten wird?
Die betroffenen Unternehmen müssen ihre Sicherheitsvorkehrungen regelmässig zertifizieren lassen. Das reicht vom Ausfüllen eines Selbstbeurteilungs-Fragebogens bis zu Kontrollen der Sicherheitsvorkehrungen vor Ort.
Welche Zertifizierungsmassnahmen verlangt PCI DSS?
Die betroffenen Firmen müssen den Nachweis erbringen, dass sie alle für die Sicherheit der Kartendaten notwendigen technischen und organisatorischen Vorkehrungen getroffen haben. Welche Zertifizierungsmassnahmen konkret notwendig sind, hängt unter anderem davon ab, wie viele Transaktionen ein Händler abwickelt und ob er dabei in Berührung mit Kartendaten gelangt oder nicht.
Wer kontrolliert, ob PCI DSS eingehalten wird?
Die Zertifizierung muss von einem Unternehmen durchgeführt werden, das von Visa und MasterCard dafür autorisiert worden ist.
Wo finden Sie zusätzliche Informationen zu PCI DSS?
Ausführliche Informationen zu PCI DSS finden Sie auf unserem Merkblatt „Weisungen über die Einhaltung der PCI-Sicherheitsvorschriften für Vertragspartner“ sowie auf der offiziellen Website des PCI-Councils unter www.pcisecuritystandards.org.
