PCI DSS-Standard: Was wird sich 2025 ändern?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein wichtiger Sicherheitsstandard für Organisationen, die Karteninhaberdaten verarbeiten und speichern. Der Standard hilft Unternehmen, Daten zu schützen, Betrug zu reduzieren und das Risiko von Datenschutzverletzungen zu minimieren.
Mit dem anhaltenden Wachstum des digitalen Zahlungsverkehrs ist der Schutz von Kartendaten wichtiger denn je. Bis 2025, PCI DSS 4.0 in vollem Umfang in Kraft, mit strengeren Anforderungen an die Cybersicherheit und den Datenschutz.
SimpledCard ist auch, wie Ausgabenmanagement-Lösung, PCI DSS-zertifiziert. In diesem Artikel erklären wir, was PCI DSS bedeutet, welche Änderungen es gibt und wie Sie sicherstellen können, dass Ihr Unternehmen konform bleibt.

Was ist der PCI-DSS?

PCI DSS wurde von Mastercard, VISA, American Express, JCB und Diners eingeführt. Es handelt sich um einen unabhängigen, internationalen Sicherheitsstandard zum Schutz der Daten von Karteninhabern im digitalen Zahlungsverkehr.
Die Einhaltung des PCI DSS durch die Unternehmen wird vom Payment Card Industry Security Standards Council (PCI SSC) überwacht. Sein Ziel ist der Schutz von Kredit- und Debitkarten vor Datendiebstahl und Betrug. 
Der PCI SSC mehrere technische und betriebliche Leitlinien eingeführt. Wir werden später in diesem Artikel darauf zurückkommen. 
Das PCI SSC hat keine rechtlichen Befugnisse und kann daher die Einhaltung des Standards durch die Unternehmen nicht erzwingen. Für die Online-Verarbeitung von Kredit- und Debitkartentransaktionen ist die PCI DSS-Zertifizierung jedoch eine muss.

Welche Anforderungen müssen Sie für PCI DSS erfüllen?

Eine PCI DSS-Zertifizierung gewährleistet die Sicherheit von Kartendaten in Ihrem Unternehmen. Sie erhalten die Zertifizierung, wenn Sie die Anforderungen des PCI SSC erfüllen.
Die Anforderungen umfassen eine Reihe von bewährten Praktiken, wie z. B.: 
❯ Installation von Firewalls;
❯ Daten werden verschlüsselt übertragen;
❯ Verwendung von Antiviren-Software ;
❯ Beschränkung des Zugriffs auf Karteninhaberdaten;
❯ Kontrolle des Zugangs zu Netzwerkressourcen.
Das Zertifikat zeigt, dass Ihr Unternehmen ein intensives Audit bestanden hat und dass Sie nachweislich strenge Maßnahmen zum Schutz der Daten der Karteninhaber ergreifen. 
Wenn Sie als Unternehmen die Vorschriften einhalten, zeigen Sie Ihren Kunden, dass sie sichere Transaktionen mit Ihnen durchführen können. Außerdem sind die Geldstrafen, die Ihnen bei Nichteinhaltung drohen, ein guter Grund, die Datensicherheit ernst zu nehmen. 
Die PCI-Zertifizierung gilt als der beste Weg, um sensible Daten zu schützen. Dies hilft Ihnen, langfristige, vertrauensvolle Beziehungen zu Ihren Kunden aufzubauen.  

Was sind die wichtigsten Änderungen in PCI DSS 4.0?

Mit der Einführung von PCI DSS 4.0 unter 31. März 2024 und die obligatorische Einhaltung von 31. März 2025, werden zusätzliche Sicherheitsanforderungen gestellt. Dies sind die bemerkenswertesten Änderungen:

Strengere Passwortanforderungen

• Mindestens 12 Zeichen (vorher 7 Zeichen).
• Passwörter sollten eindeutige Kombinationen aus Zahlen, Buchstaben und Sonderzeichen enthalten.
• Konten ohne Multi-Faktor-Authentifizierung (MFA) müssen ihr Passwort alle 90 Tage ändern.

Zusätzlicher Schutz für Konten und Systeme

• Die Passwörter von Systemkonten müssen mindestens 15 Zeichen lang sein.
• Fest kodierte Passwörter in Skripten oder Anwendungen sind verboten.
• Strengere Regeln für API-Schlüssel und die Verschlüsselung sensibler Daten.

Authentifizierte Schwachstellen-Scans

• Unternehmen müssen nun authentifizierte Scans durchführen, die einen detaillierteren Einblick in Schwachstellen geben.

Bessere Erkennung von Malware und Cyberangriffen

• Unternehmen müssen in der Lage sein, Malware-Kommunikationen, wie DNS-Tunneling und Command & Control-Angriffe, zu erkennen.
• Strengere Anforderungen an Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS).

Die PCI-Zertifizierung gilt als der beste Weg, um sensible Daten zu schützen. Dies hilft Ihnen, langfristige, vertrauensvolle Beziehungen zu Ihren Kunden aufzubauen.  

Wie erhält man eine PCI DSS-Zertifizierung?

Das PCI SSC hat 12 Anforderungen für die Verarbeitung von Karteninhaberdaten und die Aufrechterhaltung eines sicheren Netzwerks. Sie sind in sechs Ziele unterteilt und werden alle gleich gewichtet. Um die PCI DSS-Zertifizierung zu erhalten, müssen Sie also alle Anforderungen erfüllen. 
❯ Aufbau und Pflege eines sicheren Netzwerks
1. eine Firewall-Konfiguration zum Schutz von Karteninhaberdaten zu installieren und zu pflegen.
2. Verwenden Sie keine Standardwerte für Systemkennwörter und andere vom Hersteller bereitgestellte Sicherheitsparameter.
❯ Schutz von Karteninhaberdaten
3. Schutz der gespeicherten Karteninhaberdaten.
4. Verschlüsselung der Übertragung von Karteninhaberdaten über offene, öffentliche Netze.
❯ Umsetzung eines Programms zum Management von Schwachstellen
5. Verwenden Sie Antiviren-Software oder -Programme und aktualisieren Sie diese regelmäßig.
6. Entwicklung und Pflege sicherer Systeme und Anwendungen.
❯ Verwenden Sie strenge Zugangsmaßnahmen
7. Beschränkung des Zugriffs auf Karteninhaberdaten.
8. Weisen Sie jeder Person mit Zugriff auf den Computer eine eindeutige ID zu.
9. Begrenzung des physischen Zugriffs auf Karteninhaberdaten.
❯ Regelmäßige Überwachung und Prüfung der Netze
10. Verfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.
11. Regelmäßige Prüfung der Sicherheitssysteme und -verfahren.
❯ Aufrechterhaltung einer Informationssicherheitspolitik
12. Aufrechterhaltung einer Politik der Informationssicherheit für das gesamte Personal
Um das Zertifikat zu behalten, müssen Sie es jedes Jahr einhalten. Wenn Sie dies nicht tun, müssen die Organisationen mit hohen Geldstrafen rechnen. 
Wenn Sie PCI-konform sind, ist die Wahrscheinlichkeit einer Datenschutzverletzung aufgrund eines Cyberangriffs gering. Sollte Ihr Unternehmen dennoch damit konfrontiert werden, können die Kartensysteme Ihre PCI-Geldbußen erheblich reduzieren - sie können sogar erlassen werden. Allerdings müssen Sie nachweisen, dass Sie alles getan haben, um PCI DSS-konform zu sein. 

SimpledCard und der Sicherheitsstandard PCI DSS

Als zertifiziertes Unternehmen erfüllt SimpledCard die höchsten Sicherheitsstandards der Branche. Dies erreichen wir unter anderem durch:
✅ Stärkere PasswörterMindestens 12 Zeichen, einschließlich Zahlen, Buchstaben und Sonderzeichen.
✅ Multi-Faktor-Authentifizierung (MFA) für alle internen und externen Konten.
✅ Keine Standardpasswörter oder voreingestellte Benutzernamen.
✅ Regelmäßige Schwachstellenscans und Audits.
✅ Verschlüsselung von Karteninhaberdaten um sie sicher zu speichern und zu versenden.
✅ Kontinuierliche Software-Updates und Sicherheitsschulungen für unsere Mitarbeiter.
Mit der SimpledCard haben Sie die Gewissheit, dass Sie eine sichere Zahlungslösung, ohne sich Gedanken über die Einhaltung der Vorschriften zu machen.
Haben Sie Fragen zu diesem Artikel? Wenden Sie sich an unser Team von Finanzexperten, das Ihnen alle Fragen zu PCI-DSS, PCI-DSS-Zertifizierung und/oder anderen Themen beantworten wird. 

FAQ

Was ist PCI DSS?

PCI DSS steht für Payment Card Industry Data Security Standard und ist ein globaler Sicherheitsstandard, der gewährleistet, dass Karteninhaberdaten von Unternehmen, die Zahlungen akzeptieren, sicher verarbeitet und gespeichert werden.

Warum ist PCI DSS wichtig?

Der Datensicherheitsstandard PCI DSS hilft Unternehmen, Datenschutzverletzungen, Betrug und Cyberangriffe zu verhindern. Unternehmen, die die Anforderungen des PCI DSS erfüllen, zeigen, dass sie Kreditkartendaten sicher verarbeiten.

Welche Unternehmen müssen PCI DSS-konform sein?

Alle Unternehmen, die Kreditkartenzahlungen verarbeiten, speichern oder übermitteln, müssen sich nach PCI DSS zertifizieren lassen. Dies gilt sowohl für große Unternehmen als auch für kleine Online-Shops.

Was sind die wichtigsten Änderungen in PCI DSS 4.0?

Mit der Einführung von PCI DSS 4.0 sind die Unternehmen dazu verpflichtet:

• Stärkere Passwörter zu verwenden (mindestens 12 Zeichen).
• Multi-Faktor-Authentifizierung (MFA) den Zugang zu Karteninhaberdaten beantragen.
• Regelmäßige Schwachstellenscans und Penetrationstests ausführen.
• Sicherheitsmaßnahmen gegen Malware verbessern.

Wie erhalte ich die PCI DSS-Zertifizierung?

Um PCI DSS-konform zu werden, muss Ihr Unternehmen 12 Sicherheitsanforderungen erfüllen, die sich auf sechs Säulen verteilen. Dazu gehören der Einsatz von Firewalls, Verschlüsselung, Zugangskontrolle und Überwachung.

Wie lange ist eine PCI DSS-Zertifizierung gültig?

Eine PCI DSS-Zertifizierung ist ein Jahr lang gültig. Organisationen müssen die Anforderungen jährlich neu erfüllen, um ihre Zertifizierung aufrechtzuerhalten.

Was passiert, wenn Sie nicht PCI DSS-konform sind?

Unternehmen, die den Datensicherheitsstandard PCI DSS nicht einhalten, riskieren hohe Geldstrafen, die Haftung für Datenschutzverletzungen und sogar den Verlust ihrer Fähigkeit, Kreditkartenzahlungen zu akzeptieren.

Was sind PCI DSS-Unternehmen?

PCI DSS-Unternehmen sind Unternehmen, die den PCI DSS-Standard erfüllen und damit nachweisen, dass sie Karteninhaberdaten sicher verarbeiten. SimpledCard ist ein Beispiel für ein PCI DSS-zertifiziertes Unternehmen.

Wie hilft SimpledCard bei der Einhaltung des PCI DSS?

SimpledCard erfüllt alle Anforderungen des PCI DSS 4.0, indem:

• Verwendung starker Verschlüsselung und sicherer Netzwerke.
• Regelmäßige Schwachstellenscans und Audits.
• Implementierung der Multi-Faktor-Authentifizierung (MFA).
• Beschränkung des Zugriffs auf Karteninhaberdaten.

Was ist der Unterschied zwischen PCI DSS und anderen Sicherheitsstandards?

PCI DSS konzentriert sich speziell auf die Sicherheit von Zahlungsdaten. Andere Normen, wie ISO 27001, sind breiter angelegt und decken die allgemeine Informationssicherheit ab.

Wie kann ich überprüfen, ob mein Unternehmen PCI DSS-konform ist?

Sie können Ihren Konformitätsstatus von einem zertifizierten PCI DSS-Auditor (Qualified Security Assessor, QSA) bewerten lassen oder selbst einen Selbstbewertungsfragebogen (Self-Assessment Questionnaire, SAQ) ausfüllen, wenn Sie weniger als 6 Millionen Transaktionen pro Jahr verarbeiten.

Muss ich PCI DSS-konform sein, wenn ich einen PSP (Payment Service Provider) verwende?

Ja, auch wenn Sie einen Zahlungsanbieter wie Stripe, Adyen oder Mollie verwenden, müssen Sie sicherstellen, dass Ihr Unternehmen PCI DSS-konform ist, insbesondere wenn Sie Kreditkartendaten speichern oder verarbeiten.