S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Regulierung

Payment Card Industry Data Security Standard

Abkürzung: PCI-DSS

Branchen-Sicherheitsstandard für alle Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Wenn du Kreditkartenzahlungen akzeptierst, musst du PCI-DSS einhalten. Es ist wie ein Sicherheitsstandard speziell fürs Bezahlen: Du musst Kartendaten verschlüsseln, dein Netzwerk sichern, regelmäßig testen. Sonst können Visa und Mastercard dir das Recht entziehen, Kreditkarten anzunehmen.

Ausführliche Erklärung

PCI-DSS wird vom PCI Security Standards Council (gegründet von Visa, Mastercard, Amex, Discover, JCB) verwaltet. Version 4.0 (aktuell) umfasst 12 Anforderungen in 6 Bereichen: Sichere Netzwerke, Schutz von Karteninhaberdaten, Schwachstellenmanagement, Zugangskontrolle, Monitoring und Richtlinien. Je nach Transaktionsvolumen gilt Level 1-4 mit unterschiedlichen Prüfpflichten (QSA-Audit, SAQ oder ASV-Scan). Nicht-Compliance kann zu Strafen, erhöhten Transaktionsgebühren oder dem Entzug der Zahlungsabwicklung führen.

>Wie funktioniert das?

1

Scope bestimmen: Alle Systeme die mit Karteninhaberdaten in Kontakt kommen (Cardholder Data Environment, CDE)

2

Compliance-Level bestimmen: Transaktionsvolumen bestimmt Level 1-4

3

Maßnahmen implementieren: 12 PCI-DSS Anforderungen umsetzen

4

Prüfung: Level-1-Händler brauchen jährlichen QSA-Audit, kleinere nutzen Self-Assessment Questionnaire

5

Report on Compliance (RoC) oder SAQ einreichen.

?Häufig gestellte Fragen
Antwort

Alle Händler, Zahlungsdienstleister und Service-Provider die Kreditkartendaten verarbeiten, speichern oder übertragen — von kleinen Online-Shops bis zu großen Zahlungsabwicklern.

Antwort

Scope-Reduzierung durch Tokenisierung — wenn keine echten Kartendaten gespeichert werden (nur Tokens), reduziert sich der PCI-Scope drastisch und damit auch der Compliance-Aufwand.

Antwort

QSAs sind von PCI SSC zertifizierte Auditoren die für Level-1-Händler verpflichtend den jährlichen Compliance-Audit durchführen und den Report on Compliance (RoC) erstellen.

Antwort

Weil PCI-DSS einen Mindeststandard definiert — und komplexe Angriffstechniken (die zwischen Audit-Zyklen entstehen) dadurch nicht automatisch abgedeckt sind. Compliance ≠ Sicherheit.

Antwort

Durch Nutzung zertifizierter Zahlungsdienstleister (Stripe, PayPal) die den PCI-Scope übernehmen, Tokenisierung statt Kartendaten-Speicherung und Nutzung von P2PE (Point-to-Point Encryption).

Quick Facts
KategorieRegulierung
AbkürzungPCI-DSS
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC