PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsstandard für den Schutz von Kreditkartendaten, den alle Unternehmen einhalten müssen, die Kartendaten verarbeiten, speichern oder übertragen.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsstandard, der von den fünf grossen Kartennetzwerken (Visa, Mastercard, AMEX, Discover, JCB) ins Leben gerufen wurde. Er definiert verbindliche Anforderungen für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen.
Der Standard umfasst 12 Hauptanforderungen in sechs Bereichen: Netzwerksicherheit, Datenschutz, Schwachstellenmanagement, Zugangskontrolle, Überwachung und Sicherheitsrichtlinien. Die Einhaltung wird durch jährliche Audits oder Selbstbewertungen (SAQ) nachgewiesen.
Für die meisten Online-Händler reduziert die Nutzung eines PCI-DSS-zertifizierten PSP den eigenen Compliance-Aufwand erheblich: Wenn Kartendaten über einen Hosted Checkout oder ein tokenisiertes Zahlungsformular verarbeitet werden, berühren die sensiblen Daten das Händlersystem nie direkt.
PCI DSS Beispiele
Ein Online-Shop nutzt den Hosted Checkout seines PSP. Kartendaten werden nie auf dem Shop-Server gespeichert — der PCI-DSS-Compliance-Aufwand ist minimal.
Ein grosser Retailer verarbeitet Kartendaten in seinem eigenen System und muss jährlich ein PCI-DSS-Audit durch einen Qualified Security Assessor (QSA) bestehen.
Ein PSP tokenisiert Kartendaten: Statt der echten Kartennummer wird ein Token gespeichert, der für Betrüger wertlos ist.
PCI DSS FAQ
Was ist PCI DSS?
PCI DSS ist der Sicherheitsstandard der Kreditkartenindustrie. Er definiert Anforderungen für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen — zum Schutz vor Datenverlust und Betrug.
Muss ich als Händler PCI DSS einhalten?
Ja, grundsätzlich muss jedes Unternehmen, das Kartenzahlungen akzeptiert, PCI DSS einhalten. Für die meisten Online-Händler reduziert sich der Aufwand jedoch stark, wenn sie einen PCI-DSS-zertifizierten PSP mit Hosted Checkout nutzen.
Was ist Tokenisierung im Kontext von PCI DSS?
Tokenisierung ersetzt die echte Kartennummer durch ein Token — einen zufälligen Wert, der für Betrüger wertlos ist. Das Token kann für Folgetransaktionen verwendet werden, ohne dass die echten Kartendaten gespeichert werden müssen.
Was passiert bei einem PCI-DSS-Verstoss?
Verstösse können zu Geldstrafen der Kartennetzwerke, erhöhten Transaktionsgebühren, dem Verlust der Kartenakzeptanz und im schlimmsten Fall zu Haftungsansprüchen bei Datenverlust führen.
