Das PCI:DSS Level 1 ist die höchstmögliche Zertifizierung für die Abwicklung von Kreditkartentransaktionen. Die Bestimmungen der Zertifizierungen unterteilen sich in 4 Kategorien, also von Level 4 bis Level 1, wobei Level 1 dementsprechend die strengsten Anforderungen darstellt.
PCI DSS, in weiteren Varianten auch PCI:DSS und PCI-DSS, ist die Abkürzung für “Payment Card Industry Data Security Standard“ und ist ein Regelwerk für den Zahlungsverkehr mit Kreditkarten. Der PCI:DSS basiert auf der MasterCard SDP (Site Data Protection), dem Visa CISP (Cardholder Information Security Program), der beiden AMEX-DSOP (Discover Security Operating Policy) & AMEX DISC (Discover Information Security and Compliance) und der Visa AIS (Account Information Security) sowie auf den JCB-Sicherheitsregularien und existiert seit dem Jahr 2006. Es handelt sich dabei also um ein extrem aufwendiges und komplexes Sicherheitsprogramm zum Schutz der Datensicherheit bei Kreditkartenzahlungen. In regelmäßigen Abständen finden sogenannte Pen-Tests (Penetrationtest, Schwachstellen-Scan) und Audits (Sicherheitsprüfung, Begehung) vor Ort statt. Diese Tests werden von einem Scanvendor (Approved Scanning Vendor = ASV), der von MasterCard extra zugelassen wird, durchgeführt. Die Audits werden von einem von Visa zugelassenem Unternehmen (Qualified Security Assessor = QSA) vorgenommen.
Die Anforderungen des Payment Card Industry Data Security Standards bestehen aus mindestens 12 Punkten für die IT-Infrastruktur eines Unternehmens:
Der PCI DSS wird von den Kreditkartenunternehmen zwingend vorgeschrieben. Werden Kreditkartentransaktionen ohne Zertifizierung abgewickelt, droht die Kündigung des Kreditkartenakzeptanzvertrags und hohe Strafzahlungen.
Händler, die Kreditkartentransaktionen online, also im E-Commerce, abwickeln wollen, sollten einen entsprechend nach PCI DSS Level 1 zertifizierten Payment-Service-Provider beauftragen. Zum einen hat das den Vorteil, dass man nicht selbst den hohen Aufwand für die Zertifizierung betreiben muss und zum anderen halten die Payment-Service-Provider ihre Systeme immer auf dem aktuellsten Stand. Das wiederum kommt der eigenen Sicherheit und der des Käufers sowie der Reputation des Online-Shops sehr stark zu gute.