Die Payment Card Industry Data Security Standard (PCI DSS) ist der Informationssicherheitsstandard für Organisationen, die mit Bezahlkarten von Visa, Mastercard und Co arbeiten. Per 31. März 2025 gilt die neueste Version 4 der Sicherheitsrichtlinie. Doch was bedeutet dies für Banken, die diese Karten für ihre Kunden verwalten?
Regelmässig formuliert der PCI Security Standards Council die Anforderungen für Unternehmungen im Payment Karten Business neu. Das Ziel: Den Zugriff auf kartenidentifizierende Daten schützen, um Betrugsfälle zu verhindern. Sämtliche Unternehmen, die Transaktionen mit Kredit-, Debit- und/oder Prepaid-Karten verarbeiten, unterliegen den Anforderungen der PCI Konformität. Damit betreffen diese auch sämtliche Banken in der Schweiz, welche die Kartenverwaltung und Kartentransaktionen eigenverantwortlich durchführen.
Voraussetzung für das Einhalten des Sicherheitsstandards der Version 4 ist, dass die Kartennummer (PAN) nicht zusammen mit weiteren Kartendaten insbesondere dem Kartenhalter-Namen und dem Ablaufdatum unverschlüsselt gespeichert werden, und dass diese Daten nicht zusammen im User Interface einer Applikation angezeigt werden. Je nach Kartentyp und -herausgeber ist das Vorgehen zur Lösungsimplementierung unterschiedlich: Bei Kreditkarten ist bankseitig eine einfache und zeitnahe Umsetzung möglich und auf Seiten der Herausgeber gibt es bereits einige Lösungen. Bei Debitkarten besteht noch Nachholbedarf, da hier zahlreiche Systemabhängigkeiten die Aufgabe erschweren. Grundsätzlich gilt, dass bei der Anzeige von Kartendaten die PAN nur noch maskiert sichtbar sein darf, wodurch bereits ein Grundschutz gewährleistet wird.
Obwohl das Einhalten der PCI DSS Richtlinie keine gesetzliche Anforderung ist, liegt deren zeitnahe Umsetzung im höchsten Interesse der Banken selbst, da aus der Nicht-Einhaltung erhebliche Reputations- und Haftungsrisiken erwachsen.
«Ob Kür oder Pflicht ist für uns keine Frage: Das Erreichen und Einhalten der PCI Compliance gehört zu den Sorgfaltspflichten und stellt einen wichtigen Punkt beim aktiven Risikomanagement dar.», meint Christian Weber, Leiter Modern Payment Solutions bei amétiq banking. «Ein oft unterschätzter Faktor ist die Entwicklung und Pflege einer Strategie sowie eines konkreten Fahrplans für die Umsetzung der jeweils gültigen Vorschriften. Dies hilft nicht nur, den Fortschritt in der Umsetzung der Anforderungen anhand von Zielen und Fristen zu überwachen, sondern trägt auch zu einer Beschleunigung des Prozesses bei. Wir beraten unsere Kunden und begleiten sie aktiv auf diesem Weg.», so Weber weiter.
Mit einer smarten Datenschutzlösung werden interne und externe Sicherheitsbedrohungen reduziert und das Risiko von Datenlecks und Betrug deutlich verringert. Dies verbessert nicht nur den Ruf der Bank, sondern steigert auch das Vertrauen von Geschäftspartnern und Kunden und wirkt sich damit langfristig positiv auf den Ertrag aus.
Interessiert? Dann kontaktieren Sie uns unter 055 420 46 00 oder banking@ametiq.com für weitere Informationen.
Wir freuen uns auf Ihre Kontaktaufnahme.
Weitere Informationen
CARD ADMINISTRATION SYSTEM (CAS)