PCI DSS – Payment Card Industry Data Security Standard
PCI DSS ist der globale Sicherheitsstandard für Zahlungskartendaten (PCI SSC). Version 4.0.1 ist seit Dezember 2024 der alleinige verbindliche Standard.
Zusammenfassung
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit anerkannter Sicherheitsstandard für Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen. Er wurde vom PCI Security Standards Council (PCI SSC) entwickelt, das 2006 von den fünf großen Kartengesellschaften (Visa, Mastercard, American Express, Discover, JCB) gegründet wurde.
- Zwölf Hauptanforderungen: Gegliedert in sechs übergeordnete Ziele, von der Netzwerksicherheit bis zum Schwachstellenmanagement.
- Compliance-Level: Vier Merchant-Level und zwei Service-Provider-Level basierend auf dem Transaktionsvolumen.
- Aktuelle Version: PCI DSS v4.0.1 (Juni 2024) ist der alleinige gültige Standard; v3.2.1 wurde März 2024, v4.0 im Dezember 2024 zurückgezogen.
- Keine Gesetzeskraft: PCI DSS ist kein Gesetz, sondern eine vertragliche Anforderung der Kartennetzwerke.
Geschichte
Vor der Einführung von PCI DSS hatten die großen Kartengesellschaften eigene, unterschiedliche Sicherheitsprogramme: Visa hatte das Cardholder Information Security Program (CISP), Mastercard das Site Data Protection (SDP). Die zunehmenden Datenschutzverletzungen und Kreditkartenbetrug führten im Dezember 2004 zur Veröffentlichung des ersten PCI DSS (Version 1.0) als Harmonisierung dieser Standards. Am 7. September 2006 wurde daraufhin das PCI SSC als gemeinsame Organisation der Kartenmarken gegründet.
Der Standard wurde seitdem regelmäßig aktualisiert: Version 1.1 (2006), 1.2 (2008), 2.0 (2010), 3.0 (2013), 3.1 (2015), 3.2 (2016), 3.2.1 (2018) und schließlich die revolutionäre Version 4.0 (März 2022), die einen risikobasierten Ansatz einführte und neue Anforderungen für Authentifizierung, E-Commerce-Sicherheit und kontinuierliches Monitoring enthielt. Version 3.2.1 wurde am 31. März 2024 zurückgezogen, sodass v4.0 der alleinige gültige Standard wurde. PCI DSS v4.0.1 wurde im Juni 2024 als geringfügige Revision veröffentlicht. Am 31. Dezember 2024 wurde v4.0 zurückgezogen; v4.0.1 ist seither der alleinige akzeptierte Standard. Ab 31. März 2025 werden 51 zukunftsdatierte Anforderungen verbindlich.
Geltungsbereich
PCI DSS gilt für alle Organisationen weltweit, die Kreditkarten- oder Debitkartendaten der großen Kartenmarken verarbeiten, speichern oder übertragen, unabhängig von ihrer Größe oder ihrem Sitz. Erfasst sind:
- Händler: Alle Unternehmen, die Zahlungskarten akzeptieren.
- Service Provider: Dritte, die Karteninhaberdaten im Auftrag von Händlern verarbeiten oder Dienste bereitstellen, die die Sicherheit von Karteninhaberdaten beeinflussen können.
Der Geltungsbereich der Compliance hängt von der Cardholder Data Environment (CDE) ab – dem Bereich, in dem Karteninhaberdaten gespeichert, verarbeitet oder übertragen werden. Mittels Netzwerksegmentierung kann der Scope reduziert werden. Tokenisierung und Point-to-Point-Encryption (P2PE) können den Scope erheblich einschränken.
Kernanforderungen
PCI DSS v4.0 enthält 12 Hauptanforderungen, gegliedert in 6 Ziele:
- Sicheres Netzwerk aufbauen und aufrechterhalten: (1) Netzwerksicherheitskontrollen installieren und pflegen; (2) Standardpasswörter ändern, sichere Konfigurationen.
- Karteninhaberdaten schützen: (3) Gespeicherte Karteninhaberdaten schützen; (4) Karteninhaberdaten mit starker Kryptographie über offene Netze schützen.
- Schwachstellenmanagement: (5) Systeme vor Malware schützen; (6) Sichere Systeme und Software entwickeln und pflegen.
- Starke Zugangskontrolle implementieren: (7) Zugang zu Systemkomponenten und Karteninhaberdaten beschränken; (8) Benutzer identifizieren und Zugang authentifizieren; (9) Physischen Zugang zu Karteninhaberdaten beschränken.
- Netzwerke regelmäßig überwachen und testen: (10) Gesamten Zugang zu Systemkomponenten und Karteninhaberdaten protokollieren und überwachen; (11) Sicherheit von Systemen und Netzwerken regelmäßig testen.
- Informationssicherheitsrichtlinie aufrechterhalten: (12) Informationssicherheit durch Richtlinien und Programme unterstützen.
Verwandte Frameworks
Korrekturen & Errata
2 Korrekturen:
- PCI-DSS: PCI SSC wurde 2006 gegruendet, nicht 2004
- PCI-DSS: Service-Provider-Level sind 2, nicht 3
1 Aktualisierung:
- PCI-DSS: v4.0 seit Dez 2024 zurueckgezogen, v4.0.1 ist alleiniger Standard; Maerz 2025 Meilenstein fehlt