PCI DSS

Payment Card Industry Data Security Standard–ein Standard zur Sicherung von Kreditkartendaten, der für alle Organisationen gilt, die solche Daten verarbeiten. PCI DSS definiert 12 Anforderungen, die in sechs Kontrollelemente gruppiert sind: Aufbau und Instandhaltung eines sicheren Netzwerks (z. B. Firewall, Vendor-Defaults), Schutz gespeicherter Karteninhaberdaten (Verschlüsselung, Tokenisierung), Absicherung von Datenübertragungen (TLS), Pflegen eines Vulnerability-Management-Programms (Antivirus, Patching), Implementieren strikter Zugriffskontrollen (Least Privilege, MFA) und Monitoring aller Zugriffe (Logging, SIEM). Regelmäßige interne und externe Penetrationstests, vierteljährliche Vulnerability-Scans und jährliche RoPA (Report on Compliance)-Auditberichte durch zertifizierte QSA (Qualified Security Assessor) sind zwingend. Unternehmen müssen Netzwerksegmentierung berücksichtigen, um Cardholder Data Environment (CDE) von restlichen Systemen zu isolieren und so die Compliance-Kosten zu senken.