FAQ Hero
Schwachstellenmanagement

Was ist ein PCI-Scan?

Was ist ein PCI-Scan?

PCI-Scans oder PCI-Schwachstellenanalysen sind automatisierte, umfassende Tests zur Suche nach und Identifizierung von Schwachstellen in der IT-Architektur eines Unternehmens, die mögliche PCI-Complianceverstöße zur Folge haben können. Diese Tests werden von als „Approved Scanning Vendors“ (ASVs) bezeichneten Unternehmen mindestens einmal pro Quartal durchgeführt.

Datenschutzstandards für Zahlungskarten (Payment Card Industry Data Security Standard; PCI DSS) sind eine Reihe von technischen und praktischen Anforderungen an Unternehmen bezüglich der Annahme und Verarbeitung von Zahlungstransaktionen. Diese Standards werden von Kreditkartenunternehmen festgelegt und geregelt (Visa, MasterCard, American Express usw.) und dienen dem verstärkten Schutz der Daten von Karteninhabern zur Reduzierung des Risikos von Kreditkartenbetrug.

Unternehmen gelten als PCI-konform, wenn sie den zwölf durch PCI DSS regulierten Anforderungen entsprechen und so die ausreichend sichere Verarbeitung von Kreditkarteninformationen sicherstellen. Die Compliance-Validierung wird einmal jährlich oder vierteljährlich durchgeführt – auf eine Art und Weise, die dem Transaktionsvolumen des Unternehmens gerecht wird. Unternehmen mit einem geringeren Volumen an Transaktionen können eine Selbsteinschätzung vornehmen. Mittelgroße Volumen müssen von einem externen Gutachter überprüft werden und sehr hohe Volumen erfordern die Einstellung eines internen Gutachters zur Durchführung regelmäßiger Compliance-Audits und der entsprechenden Berichterstattung.