Datenschutz & PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein gemeinsamer Standard der internationalen Zahlungssysteme, der explizit auf den Schutz von Kartendaten dieser Zahlungssysteme ausgelegt ist. Damit ist der PCI DSS ein branchenübergreifend wie weltweit etablierter Standard, dessen primäres Ziel im Schutz einer spezifischen Ausprägung personenbezogener Daten (nämlich Kartendaten) besteht. Dadurch definiert der PCI DSS ein Maß an Sicherheit, welches für Kartendaten der internationalen Zahlungssysteme als „angemessen“ angesehen werden kann.

Das Deutsche Bundesdatenschutzgesetz (BDSG) formuliert in Umsetzung der Europäischen Datenschutzdirektive („Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and the free movement of such data“) die Anforderung, personenbezogene Daten „angemessen“ durch technische und organisatorische Maßnahmen zu schützen (vgl. §9 BDSG nebst Anhang). Da sich diese Anforderung des BDSG direkt aus Artikel 17 der  verbindlich in nationales Recht umzusetzenden Europäischen Direktive ergibt, finden sich ähnliche Anforderungen in sämtlichen Datenschutzgesetzen der Mitgliedsstaaten der Europäischen Union. Konkrete Anforderungen an umzusetzende Maßnahmen finden sich in den Gesetzestexten jedoch in der Regel nicht. Unternehmen, die technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten etablieren, müssen daher stets eine Abschätzung der Angemessenheit vornehmen.

Da der PCI DSS einen etablierten Standard darstellt, der ein als angemessen anzusehendes Sicherheitsniveau für eine bestimmte Ausprägung personenbezogener Daten definiert, bietet es sich daher an, ihn auch bei der Definition von Maßnahmen zum Schutz anderer personenbezogener Daten heranzuziehen. In vielen Fällen bringt die Umsetzung des PCI DSS auch bereits eine positive Ausstrahlwirkung auf das Sicherheitsniveau anderer pb Daten innerhalb des PCI DSS Scopes mit sich. Der PCI DSS eignet sich damit als Best Practice-Sammlung zur Auswahl angemessener Maßnahmen, um auch die Konformität zu §9 BDSG zu erhöhen.

Eine Vorgehensweise zur Nutzung des PCI DSS als Grundlage eines Bottom Up-Ansatzes zur Umsetzung technischer & organisatorischer Maßnahmen für den Schutz personenbezogener Daten in Europa wird von SRC in einem Whitepaper beschrieben.

Unser Angebot

SRC verfügt über umfangreiche Kompetenzen sowohl zum PCI DSS wie auch zum Datenschutz in Deutschland und auf europäischer Ebene. Damit ist SRC in der Lage, Sie umfassend bei der Kombination von PCI DSS und Datenschutzaspekten zu unterstützen.

Die Dienstleistungen von SRC in diesem Zusammenhang beinhalten insbesondere das Unterstützen bei der Etablierung von Datenschutzkonzepten auf Basis des PCI DSS oder bei dem Erarbeiten von integrierten Vorgehensweisen, um das durch den PCI DSS erreichte Sicherheitsniveau in angemessenem Umfang auf andere personenbezogene Daten innerhalb wie außerhalb des PCI DSS-Scopes zu übertragen.

Weiterhin verfügt SRC über erfahrene und akkreditierte PCI DSS- sowie Datenschutzauditoren, die kombinierte Audits für PCI DSS und Datenschutz durchführen können. Damit lässt sich nicht nur eine Konformität zum PCI DSS, sondern auch eine Erfüllung datenschutzrechtlicher Anforderungen hinsichtlich technischer und organisatorischer Maßnahmen nachweisen. Durch die Kombination beider Audits lassen sich zudem Skalen- und Synergieeffekte nutzen, was in einem reduzierten Aufwand gegenüber der Durchführung zweier unabhängiger Audits resultiert. 

 

Ansprechpartner

Detlef Kraus
Thilo W. Pannen
Randolf Skerka

info[at]src-gmbh.de
Telefon: +49(0)228 2806-0
Telefax: +49(0)228 2806-199

Seitenanfang  SeitenanfangSeite drucken  Seite drucken

Copyright © SRC Security Research & Consulting GmbH

Graurheindorfer Straße 149a . 53117 Bonn . Telefon: +49(0)228 2806-0 . Telefax: +49(0)228 2806-199 . info[at]src-gmbh.de