Beim diesjährigen „Payment Card Industry Security Standard“-Audit konnte unser Team wiederholt das hohe Niveau der IT-Sicherheit aus dem Hause Continum beweisen. Bei uns werden nachweislich definierte Prozesse gelebt und erarbeitete IT-Security Richtlinien zielgerichtet und effektiv angewendet. Das PCI-DSS-Audit erfolgte, unter Einhaltung der strengen Hygienemaßnahmen, im Rahmen eines umfangreichen On-Site-Assessments bei der Continum AG in Freiburg i.Br. durch einen unabhängigen PCI-DSS-akkreditierten Auditor.

Was ist PCI DSS?

PCI DSS, der „Payment Card Industry Data Security Standard“, ist ein von allen wichtigen Kreditkartenorganisationen geforderter Standard für IT-Sicherheit. Die Verarbeitung von Kreditkartendaten darf nur gemäß den Anforderungen des Standards erfolgen – Verstöße können mit empfindlichen Strafen oder dem Verbot der Verarbeitung geahndet werden. Im Unterschied zum bekannteren Standard ISO/IEC 27001 ist PCI DSS konkreter und enthält deutlich mehr genaue Handlungsanweisungen und „Best Practice“ Vorgaben.

Was fordert PCI DSS?

Zwölf grundsätzliche Anforderungen begründen den PCI-DSS Standard, der eine jährliche Überprüfung z.B. von Rechenzentren und den Nachweis der Einhaltung strenger Sicherheitsvorgaben vor Ort fordert.

Überprüft wird unter anderem die Beschränkung des physischen Zugriffs auf Kreditkarteninhaberdaten sowie die Pflege und Umsetzung der Informationssicherheitsrichtlinie für das ganze Team und der Prozess zur Ermittlung und Meldung von Ausfällen wichtiger Sicherheitskontrollsysteme.

Das grundlegende Regelwerk besteht aus einfachen, naheliegenden Forderungen. Der konkrete Weg der Umsetzung ist jedoch über einen umfassenden und laufend aktualisierten Katalog einzeln nachzuweisender Requirements detailliert vorgegeben. Es gibt kaum Spielräume – und das ist gut so.

Wer braucht PCI DSS?

Verarbeitet ein Unternehmen Kreditkartendaten, so besteht ausnahmslos die Verpflichtung, die PCI DSS Standards einzuhalten und somit für eine angemessene Sicherheit der sensiblen Kreditkartendaten zu sorgen. Je nach Anzahl der zu verarbeitenden Daten bzw. Transaktionen ändert sich die Art und Weise, wie die Compliance zu belegen ist. Die Anforderungen selbst sind jedoch unabhängig von der Anzahl der Transaktionen identisch und in jedem Falle einzuhalten. „Verarbeitung“ ist weit gefasst – es geht dabei nicht ausschließlich um Zahlungstransaktionen. Schon die Weitergabe oder Speicherung erfordert die Einhaltung der Standards.

Auch Kunden aus Bereichen wie E-Commerce, Fintech, IP-Handling etc. gewinnen durch die mit PCI DSS garantierte Sicherheit, weil vielfältige Risiken der Datenverarbeitung bestmöglich minimiert werden.

Bereits seit 2013 erfüllt die Continum AG regelmäßig die hohen Anforderungen des PCI-DSS und ist einer der wenigen Managed Service Provider in Deutschland, der echtes „Managed Hosting“ auch in dem sensiblen Bereich der Kreditkartendaten-Verarbeitung bietet.