PCI DSS

Was ist PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein international anerkannter Sicherheitsstandard zur Schutz von Kreditkartendaten. Er ist verpflichtend für alle Organisationen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen – unabhängig von ihrer Größe. Der Standard wurde von den führenden Kreditkartenorganisationen (u. a. Visa, Mastercard, American Express) entwickelt, um den Umgang mit sensiblen Zahlungsdaten abzusichern und Missbrauch zu verhindern.

Aufbau & Methoden

PCI DSS besteht aus 12 Anforderungen, die in 6 Kontrollziele gegliedert sind:

1. Aufbau und Pflege eines sicheren Netzwerks

   • Einsatz von Firewalls

   • Entfernung von Default-Passwörtern

2. Schutz von Karteninhaberdaten

   • Verschlüsselung gespeicherter Daten (AES)

   • Tokenisierung / Maskierung

3. Absicherung der Übertragung sensibler Daten

   • Einsatz von TLS / VPN für Transport Layer Security

4. Pflege eines Vulnerability-Management-Programms

   • Antivirus, Patching, Schwachstellen-Management

   • Schutz vor Malware auf allen Systemen

5. Implementierung strikter Zugriffskontrollen

   • Least Privilege, Multi-Factor Authentication

   • Rollenbasierte Berechtigungen (Role-Based Access Control)

6. Überwachung und Testen von Netzwerken

   • Security Scan, Logging, SIEM, Datei-Integritätsüberwachung

   • Regelmäßige Penetrationstests & Vulnerability Assessment

Ergänzt wird PCI DSS durch verpflichtende Maßnahmen wie:

• Vierteljährliche Vulnerability-Scans durch ASV

• Jährliche Penetrationstests

• RoC (Report on Compliance) durch zertifizierte QSA

• Netzwerksegmentierung zur Abgrenzung der Cardholder Data Environment (CDE)

Einsatz in der Praxis

PCI DSS ist branchenübergreifend relevant:

• E-Commerce-Plattformen sichern ihre Bezahlseiten durch TLS, WAFs und Segmentierung

• Payment Service Provider integrieren Patch-Management, Zugriffskontrollen und Log-Monitoring

• Finanzdienstleister nutzen regelmäßige Penetrationstests und SIEM-gestützte Anomalieerkennung

• Auditoren & QSA führen umfangreiche Compliance-Prüfungen inkl. Dokumentation, Begehung und Systemanalyse durch

Ziel ist es, Datenverlust, Kartenmissbrauch und Bußgelder durch Regulierungsbehörden zu vermeiden.

Standardbezug

• PCI DSS – herausgegeben vom PCI Security Standards Council

• ISO 27001 – oft in Kombination zur Gesamtabsicherung

• BSI IT-Grundschutz – ergänzend für deutsche Organisationen

Verwandte Begriffe

• Vulnerability

• Security Scan

• Least Privilege

• Role-Based Access Control

• Penetrationstest

• Audit

• Patch Management

• Logging

Beispiel aus der Praxis

Ein internationaler Online-Händler segmentierte seine Infrastruktur, um das PCI-Scoping zu reduzieren.
Kreditkartentransaktionen wurden vollständig auf isolierte Container innerhalb der CDE umgeleitet, wo nur geprüfte Systeme Zugriff hatten.
Durch ein strukturiertes Patch Management-Verfahren, MFA für Admins und regelmäßige Penetrationstests bestand das Unternehmen den QSA-Audit ohne Beanstandung.