Neuer Sicherheitsstandard für Kreditkartenzahlungen
Der bisherige Standard PCI 3.0 (Payment Card Industry Security Standard) wird durch PCI 4.0 ersetzt. Damit gehen u.a. fortlaufende Datenerkennung und -klassifizierung nach Risiko, ein strengeres Berechtigungsmanagement, sowie die Bestandsaufnahme von Systemen für Kreditkartendaten, einher. Bei Nicht-Einhaltung des Sicherheitsstandards droht im schlimmsten Fall der Lizenzentzug.
Fast jedes Unternehmen direkt oder indirekt betroffen
Von den Änderungen betroffen ist jedes Unternehmen, das der PCI-Zertifizierungspflicht unterliegt. Zertifizierungspflichtig ist ein Unternehmen, wenn es Kreditkartenzahlungen über seine Systeme verarbeitet oder speichert. Wer die Kreditkarten nicht selbst speichert, verarbeitet oder übermittelt, umgeht die Zertifizierung. Er muss aber nachweisen können, dass der von ihm beauftragte Dienstleister die Zertifizierung erfüllt.
Betroffene Unternehmen kommen in drei Phasen zur PCI-Konformität, so das Beratungsunternehmen AWA International. In einer Vorabbewertung müssen alle nun entstehenden Lücken der eingesetzten Kreditkartensoftware erfasst werden. Diese müssen in einem zweiten Schritt geschlossen werden. Ein zertifizierter Dienstleister solle sie im dritten Schritt dann fortlaufend überwachen. Hilfe diesbezüglich bieten z.B. Comforte (Wiesbaden) oder die usd AG (Neu-Isenburg).