Jedes Unternehmen, das vom PCI DSS abgedeckt ist, unterliegt strengen Strafen und Geldbußen für die Nichteinhaltung des Standards. Die Geldbußen variieren und hängen von der Schwere des Verstoßes gegen die Vorschriften ab. In der Regel belaufen sich die Geldbußen jedoch auf einige Tausend bis Hunderttausende von US-Dollar, die bis zur Behebung des Verstoßes anfallen können. Die Schäden in Bezug auf den Ruf können jedoch viel gravierender ausfallen. Mangelndes Kundenvertrauen aufgrund von Datenschutzverletzungen kann zum Verlust von Kunden und sogar zu Sammelklagen führen: Eine Datenschutzverletzung mit 34 Millionen Zahlungskarten endete 2019 mit einer 8-Millionen-Dollar-Klage. Die Untersuchung zeigte mehrere Verstöße gegen den PCI DSS.
Hacker folgen immer dem Geld, also sind Finanztransaktionen ein Schwerpunkt für Betrug und Cyberkriminelle. Ein Bericht aus dem Jahr 2022 von Akamai zeigt beispielsweise, dass Angriffe auf Webanwendungen und APIs von Finanzdienstleistern im Vergleich zum Vorjahr um 257 % gestiegen sind. Darüber hinaus zeigen Zahlen der Federal Trade Commission, dass die Verbraucher im Jahr 2022 fast 8,8 Milliarden Dollar durch Finanzbetrug verloren haben. Das entspricht einem Anstieg um 44 % gegenüber 2021.
Um die Flut von Finanzbetrug und Finanzkriminalität mit Zahlungskartendaten einzudämmen, bietet der PCI Security Standards Council einen als PCI DSS (Payment Card Industry Data Security Standard) bekannten Standard für die Informationssicherheit. Hier erfahren Sie, was die Anforderungen des PCI DSS mit sich bringen.
PCI DSS im Überblick
Der PCI DSS ist eine Zusammenstellung von Sicherheitsstandards, die 2004 eingeführt wurden. Diese Standards gelten für alle Unternehmen, die Kreditkartendaten annehmen, verarbeiten, speichern oder übertragen. Der PCI DSS wird vom PCI SSC (Payment Card Industry Security Standards Council) verwaltet, der sich aus einem Konsortium großer Kreditkartenunternehmen zusammensetzt: Mastercard, Visa, Discover, American Express und JCB.
Der PCI DSS ist heute ein weltweit anerkannter Standard zur Durchsetzung der Datensicherheit von Zahlungskarten und zur Verhinderung von Sicherheitsverstößen. Aufgrund neuer und sich ändernder Bedrohungen unterliegt dieser Cybersicherheits-Standard jedoch Änderungen. Die neueste Version ist PCI DSS v4.0 und wurde im März 2022 veröffentlicht. Eine vollständige Compliance ist im März 2025 erforderlich (12 Monate nach Ablauf von PCI DSS v3.2.1 im März 2024).
Der PCI DSS deckt eine Vielzahl von Bedrohungen ab, einschließlich der folgenden:
- Malware
- Phishing
- Remote-Zugriffskontrolle und -Authentifizierung
- Schwache Passwörter
- Veraltete Software
- Karten-Skimming
PCI-DSS-Sicherheitskontrollen
Die 12 Kontrollen zum Schutz der Daten von Karteninhabern, die vom PCI DSS abgedeckt werden, basieren auf dem Ethos „Menschen, Prozesse und Technologien“. Zu den Kontrollmechanismen gehören die Verwendung einer Firewall, Datenminimierung, verschlüsselte Übertragung der Daten von Karteninhabern, leistungsstarke Zugriffskontrollen, Virenschutzprogramme sowie regelmäßige Penetrationstests und Risikobewertungen von Schwachstellen, Patch-Management und allgemeine Kontrollen von sicheren Umgebungen.
Arten von Organisationen, die zur Einhaltung des PCI DSS verpflichtet sind
Jedes Unternehmen, das Finanztransaktionen abwickelt, stellt ein Ziel für Cyberkriminelle dar, die dem Geld folgen. E-Commerce-Verluste aufgrund von Betrug bei Online-Zahlungen sollen bis Ende 2023 weltweit über 48 Milliarden US-Dollar erreichen. Die PwC Global Economic Crime and Fraud Survey von 2022 ergab, dass mehr als die Hälfte der Befragten in den letzten zwei Jahren einen Finanzbetrug erlebt hatten. Laut Verizon Data Breach Investigations Report 2023 (DBIR) ist im Finanzsektor ein Missbrauch von Berechtigungen die Ursache für die meisten Datenschutzverletzungen.
Da der Standard PCI DSS für alle Organisationen gilt, die Daten von Karteninhabern annehmen, verarbeiten, speichern oder übertragen, müssen die folgenden Arten von Unternehmen die Einhaltung des Standards nachweisen:
- Händler jeder Größe
- Finanzinstitute
- Zahlungsverarbeiter, sowohl hardware- als auch softwarebasiert
- POS-Anbieter (Point of Sale)
Zu den Organisationen, die vom PCI DSS betroffen sind, zählen beispielsweise:
Kleine Händler und Einzelhändler
Kleine und mittelständische Unternehmen (KMUs) sind ebenso stark dem Risiko einer schwerwiegenden Datenschutzverletzung ausgesetzt wie größere Unternehmen. Laut DBIR von 2022 kam es bei 61 % der KMUs zu mindestens einer Datenschutzverletzung. Kleine Händler müssen die Grundsätze des PCI DSS einhalten, der vier Konformitätsstufen für Händler umfasst:
Stufe 1: Verarbeitung von über 6 Millionen Kartentransaktionen pro Jahr
Level 2: Verarbeitung von 1 bis 6 Millionen Transaktionen pro Jahr
Level 3: Verarbeitung von 20.000 bis 1 Million Transaktionen pro Jahr
Level 4: Verarbeitung von weniger als 20.000 Transaktionen pro Jahr
Kleinere Händler müssen dafür sorgen, dass Sicherheit als umfassende Aufgabe angegangen wird: Sie müssen sicherstellen, dass ihre IT-Systeme durch Firewalls geschützt sind, leistungsstarke Zugriffskontrollen implementieren und die Daten von Karteninhabern verschlüsseln. Um diese 360-Grad-Sicherheit zu erreichen und zu vereinfachen, sollten KMUs nach Lösungen suchen, die Daten, Geräte und Personen schützen können.
Service-Anbieter
Ein Service-Anbieter ist jedes Unternehmen, das die Sicherheit von Zahlungsdaten beeinflussen könnte, selbst die eines anderen Unternehmens. Der PCI DSS verfügt über zwei Compliance-Stufen, die sich nach den Transaktionsebenen richten, die vom Service-Anbieter bearbeitet werden:
Service-Anbieter Level1: 300.000 oder mehr Transaktionen pro Jahr (mindestens 2,5 Millionen Transaktionen für American Express)
Service-Anbieter Level 2: Weniger als 300.000 Transaktionen pro Jahr (weniger als 2,5 Millionen Transaktionen für American Express)
Wie bei kleinen und mittelständischen Händlern müssen auch bei Service-Anbietern die Sicherheitsmaßnahmen und Kontrollen des PCI-DSS eingehalten werden.
Wie kann Akamai Sie bei der Compliance des PCI DSS v4.0 unterstützen?
Akamai ist als Service-Anbieter nach PCI DSS Level 1 zertifiziert, der höchsten verfügbaren Bewertungsebene. Akamai bietet außerdem eine Reihe von Lösungen, mit denen Ihr Unternehmen die sechs Säulen des PCI DSS einhalten kann. Die folgenden Lösungen von Akamai bieten PCI-konforme Sicherheitskontrollen, mit denen Sie die 12 PCI-Anforderungen erfüllen:
App & API Protector mit Malware-Schutz: Stellen Sie die Compliance bei Protokollen sicher und schützen Sie sich vor Datenlecks, Zero-Day-Angriffen und CVEs sowie anderen Edge-basierten Angriffen.
API Security: Erkennen Sie einen Missbrauch von API-Verhalten und -Logik und dämmen Sie ihn ein, um Websites und Assets zu schützen und den Verlust von personenbezogenen Daten zu verhindern.
Client-Side Protection & Compliance: Führen Sie eine Bestandsaufnahme und Überprüfung aller Skripte durch, die im Browser ausgeführt werden, überwachen Sie Änderungen im Skriptverhalten, und ermitteln Sie verdächtige Skriptaktivitäten.
Akamai Guardicore Segmentation: Definieren Sie regulierte Assets, um die Compliance leichter zu erreichen.
Secure Internet Access Enterprise: Blockieren oder überwachen Sie Inhaltsuploads, die PII-, PCI-, DSS- oder HIPAA-Daten enthalten.
Häufig gestellte Fragen (FAQ)
Der PCI DSS (Payment Card Industry Data Security Standard) legt Sicherheitsstandards fest, um sicherzustellen, dass alle Unternehmen, die Kreditkartendaten annehmen, verarbeiten, speichern oder übertragen, eine sichere Umgebung erhalten.
Jedes Unternehmen muss unabhängig von seiner Größe oder der Anzahl der Transaktionen den PCI DSS einhalten, wenn es Daten von Karteninhabern annimmt, überträgt oder speichert.
PCI-DSS-konforme Unternehmen müssen sich auf den Schutz von Finanzdaten konzentrieren. Die PCI-DSS-Sicherheit deckt zwei allgemeine Datenklassen ab: Daten von Karteninhabern und vertrauliche Authentifizierungsdaten.
Daten von Karteninhabern
- Primäre Kontonummer (PAN)
- Name des Karteninhabers
- Ablaufdatum
- Service-Code
Vertrauliche Authentifizierungsdaten
- Vollständige Trackdaten (Magnetstreifendaten oder entsprechende Daten auf einem Chip)
- CAV2/CVC2/CVV2/CID
- PINs/PIN-Blöcke
Warum entscheiden sich Kunden für Akamai?
Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten ein gestaffeltes Sicherheitskonzept, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.