Auslöser für PCI war das Bestreben von VISA und MasterCard, die Sicherheit von Kartenzahlungen weiter zu erhöhen sowie Händler und Karteninhaber noch wirkungsvoller vor Datendiebstahl und -missbrauch zu schützen.
Wer ist verpflichtet, PCI einzuhalten?
Grundsätzlich werden alle Parteien, die an der Abwicklung von Kreditkarten-Transaktionen beteiligt sind, zu den entsprechenden Sicherheitsvorkehrungen verpflichtet:
- Händler, die Kartendaten übermitteln, verarbeiten oder speichern
- Payment Service Provider (PSP; Unternehmen, die im Auftrag eines Händlers Kartenzahlungen abwickeln)
- Data Storage Entities (DSE; Unternehmen, die im Auftrag eines Händlers Kartendaten speichern)
- Acquirer wie die SIX Multipay
Wie wird kontrolliert, ob PCI eingehalten wird?
Die entsprechenden Firmen müssen ihre Sicherheitsvorkehrungen regelmässig zertifizieren lassen. Das reicht vom Ausfüllen eines Selbstbeurteilungs-Fragebogens bis zur Kontrolle der Sicherheitsvorkehrungen vor Ort. Welche Zertifizierungsmassnahmen notwendig sind, hängt bei Händlern unter anderem davon ab, wie viele Transaktionen sie abwickeln.
Wer kontrolliert, ob PCI eingehalten wird?
Die Zertifizierung muss von einer Sicherheitsfirma durchgeführt werden, die von VISA und MasterCard dafür autorisiert worden ist. Die in der Schweiz tätigen Prüfunternehmen sind zusammen mit den detaillierten Zertifizierungsbedingungen auf dem Merkblatt „Weisungen über die Einhaltung der PCI-Sicherheitsvorschriften für Vertragspartner“ aufgeführt, das Sie von dieser Website herunterladen können.
Ausführliche Informationen zu PCI finden Sie im Internet auf der offiziellen Website des PCI Councils unter www.pcisecuritystandards.org
