Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Standard, der technische und verwaltungstechnische Anforderungen umfasst, die darauf abzielen, die Sicherheit von Kredit- und Debitkartentransaktionen zu gewährleisten und Karteninhaber vor Missbrauch ihrer persönlichen Daten zu schützen. PCI DSS wurde 2004 von fünf großen Kreditkartenunternehmen eingeführt.
Mit einem Projekt-Kickoff-Meeting, an dem die Geschäftsleitung und die zuständigen Bereichsleiter teilnehmen, werden Zweck, Prozess, notwendige Ressourcen und Risiken des Projekts bewertet. In Absprache mit den zuständigen Stellen wird sichergestellt, dass der Umfang, der die Grundlage für die Einhaltung und Prüfung des PCI DSS bildet, korrekt festgelegt wird
Bei der Festlegung des Umfangs werden die Geschäftsprozesse, Standorte, Rechenzentren, Systeme, Mitarbeiter, Dienstleister, alle Prozesse und Komponenten im Zusammenhang mit der Übermittlung, dem Betrieb, der Speicherung, der Vernichtung der Kredit-/Debitkarte und allen anderen Aspekten, die die Sicherheit der Karte beeinträchtigen, berücksichtigt Karteninformationen werden berücksichtigt.
Um die Konformität der bestehenden Struktur mit dem aktuellen PCI DSS-Standard zu ermitteln, wird ein Differenzanalysedienst durchgeführt.
Mit der Analysestudie werden die Elemente ermittelt, die nicht der Norm entsprechen, und die Gründe für die Nichteinhaltung ermittelt. Als Ergebnis des Analysedienstes wird ein Differenzanalysebericht erstellt. Die Durchführung erfolgt durch vom PCI SSC autorisierte QSA-Experten (Qualified Security Assessor).
Es werden Beratungsleistungen für Kredit-/Debitkartenanwendungen und Zahlungsinfrastruktur gemäß PCI DSS angeboten. Secureway arbeitet mit der Organisation zusammen; Es wird ein priorisiertes Vorgehensdokument erstellt, Arbeitsschritte, Verantwortliche und Fristen zur Behebung von Unvereinbarkeiten festgelegt.
Erforderliche Dokumente werden zur Einhaltung vorbereitet.
Nach der Behebung aller im Differenzanalysebericht festgestellten Mängel wird ein Vor-Ort-Audit mit von PCI SSC autorisierten QSA-Experten (Qualified Security Assessor) durchgeführt.
ROC als Ergebnis des Prüfungsdienstes
(Compliance-Bericht) wird erstellt.
Nachdem das ROC-Dokument von Secureway erstellt und freigegeben wurde, wird das Dokument von der Organisation überprüft. Nach der Bestätigung der Organisation wird das Dokument PCI DSS Compliance Certificate – Attestation of Compliance (AOC) erstellt. Der Auditprozess endet mit der Unterschrift des Auditors (QSA) und der Beamten der Behörde.
Wenn der Kunde Prüfdokumente an Zahlungsunternehmen oder Banken weitergeben muss, sorgt Secureway in diesem Zusammenhang für die notwendige Kommunikation und den Informationsaustausch.
Dabei handelt es sich um einen vom PCI Council entwickelten Standard zur Gewährleistung der Sicherheit von Zahlungskarten. Der von VISA, Mastercard, American Express, Discovery und JCB gegründete Rat legt Sicherheitsstandards für Zahlungskarten fest und ist in der Zahlungskartenbranche bei Ankündigungen, Schulungen und Audits führend.
| KATEGORIE | KRITERIEN | ANFORDERUNGEN |
|---|---|---|
| Level 1 | • Unternehmen, die Hackerangriffen oder Angriffen ausgesetzt waren und deren Kundendaten kompromittiert wurden (Account Data Compromise – ADC) – Unternehmen mit insgesamt mehr als 6 Millionen Mastercard- und Maestro-Transaktionen pro Jahr • Unternehmen, die die Level-1-Kriterien von VISA erfüllen • Unternehmen, die MasterCard freiwillig als Level-1-Unternehmen einstuft, um das Risiko zu reduzieren | • Jährliches Audit vor Ort |
| Level 2 | • Unternehmen mit insgesamt mehr als 1 Million Mastercard- und Maestro-Transaktionen, weniger als oder gleich 6 Millionen pro Jahr • Unternehmen, die die Level-2-Kriterien von VISA erfüllen | • Jährliches Vor-Ort-Audit oder Selbstbewertung |
| Level 3 | • Unternehmen mit insgesamt mehr als 20.000 Mastercard- und Maestro-E-Commerce-Transaktionen pro Jahr, aber weniger als oder gleich 1 Million jährlichen Mastercard- und Maestro-Transaktionen insgesamt • Unternehmen, die die Level-3-Kriterien von VISA erfüllen | • Jährliche Selbsteinschätzung • Vor-Ort-Audit entsprechend der Präferenz des Arbeitsplatzes (On-Site-Audit) |
| Level 4 | • Alle anderen Unternehmen | • Jährliche Selbsteinschätzung • Jährliche Selbsteinschätzung |
| KATEGORIE | KRITERIEN | ANFORDERUNGEN |
|---|---|---|
| Level 1 | • Alle Drittverarbeiter – Alle Drittverarbeiter (TPPs) • Alle Anbieter digitaler Aktivitäten – Alle Anbieter digitaler Aktivitäten (DASPs) • Alle Token-Dienstanbieter – Alle Token-Dienstanbieter (TSPs) • Alle 3D-Secure-Dienstanbieter – Alle 3D-Secure-Dienstanbieter (3-DSSPs) • Alle AML-/Sanktionsdienstleister – Alle AML-/Sanktionsdienstleister • Alle Datenspeicherunternehmen (DSEs) und Zahlungsvermittler (PFs) mit insgesamt mehr als 300.000 kombinierten Mastercard- und Maestro-Transaktionen pro Jahr | • Jährliches Audit vor Ort. Muss von einem von PCI SSC zugelassenen QSA durchgeführt werden. |
| Level 2 | • Alle Datenspeicherfirmen und Zahlungsdienstleister mit insgesamt 300.000 oder weniger Mastercard- und Maestro-Transaktionen pro Jahr. Alle DSE1 und PFs mit insgesamt 300.000 oder weniger kombinierten Mastercard- und Maestro-Transaktionen pro Jahr • Alle Terminalanbieter – Alle Terminaldienste (TSs) | • Jährliche Selbsteinschätzung (Selbsteinschätzung) |
