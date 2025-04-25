Jedes Unternehmen, das Finanztransaktionen abwickelt, stellt ein Ziel für Cyberkriminelle dar, die dem Geld folgen. E-Commerce-Verluste aufgrund von Betrug bei Online-Zahlungen sollen bis Ende 2023 weltweit über 48 Milliarden US-Dollar erreichen. Die PwC Global Economic Crime and Fraud Survey von 2022 ergab, dass mehr als die Hälfte der Befragten in den letzten zwei Jahren einen Finanzbetrug erlebt hatten. Laut Verizon Data Breach Investigations Report 2023 (DBIR) ist im Finanzsektor ein Missbrauch von Berechtigungen die Ursache für die meisten Datenschutzverletzungen.

Da der Standard PCI DSS für alle Organisationen gilt, die Daten von Karteninhabern annehmen, verarbeiten, speichern oder übertragen, müssen die folgenden Arten von Unternehmen die Einhaltung des Standards nachweisen:

Händler jeder Größe

Finanzinstitute

Zahlungsverarbeiter, sowohl hardware- als auch softwarebasiert

POS-Anbieter (Point of Sale)

Zu den Organisationen, die vom PCI DSS betroffen sind, zählen beispielsweise:



Kleine Händler und Einzelhändler

Kleine und mittelständische Unternehmen (KMUs) sind ebenso stark dem Risiko einer schwerwiegenden Datenschutzverletzung ausgesetzt wie größere Unternehmen. Laut DBIR von 2022 kam es bei 61 % der KMUs zu mindestens einer Datenschutzverletzung. Kleine Händler müssen die Grundsätze des PCI DSS einhalten, der vier Konformitätsstufen für Händler umfasst:

Stufe 1: Verarbeitung von über 6 Millionen Kartentransaktionen pro Jahr

Level 2: Verarbeitung von 1 bis 6 Millionen Transaktionen pro Jahr

Level 3: Verarbeitung von 20.000 bis 1 Million Transaktionen pro Jahr

Level 4: Verarbeitung von weniger als 20.000 Transaktionen pro Jahr

Kleinere Händler müssen dafür sorgen, dass Sicherheit als umfassende Aufgabe angegangen wird: Sie müssen sicherstellen, dass ihre IT-Systeme durch Firewalls geschützt sind, leistungsstarke Zugriffskontrollen implementieren und die Daten von Karteninhabern verschlüsseln. Um diese 360-Grad-Sicherheit zu erreichen und zu vereinfachen, sollten KMUs nach Lösungen suchen, die Daten, Geräte und Personen schützen können.

Service-Anbieter

Ein Service-Anbieter ist jedes Unternehmen, das die Sicherheit von Zahlungsdaten beeinflussen könnte, selbst die eines anderen Unternehmens. Der PCI DSS verfügt über zwei Compliance-Stufen, die sich nach den Transaktionsebenen richten, die vom Service-Anbieter bearbeitet werden:

Service-Anbieter Level1: 300.000 oder mehr Transaktionen pro Jahr (mindestens 2,5 Millionen Transaktionen für American Express)

Service-Anbieter Level 2: Weniger als 300.000 Transaktionen pro Jahr (weniger als 2,5 Millionen Transaktionen für American Express)

Wie bei kleinen und mittelständischen Händlern müssen auch bei Service-Anbietern die Sicherheitsmaßnahmen und Kontrollen des PCI-DSS eingehalten werden.