Sicherheit bei der Datenverarbeitung: PCI DSS

Für den Schutz Ihrer Systeme und Kartendaten haben die wichtigsten Kreditkartenunternehmen (Visa, MasterCard, American Express und JCB) Sicherheitsprogramme mit Vorgaben zum Thema Datenverarbeitung und Datenhaltung entwickelt. Die Programme AIS von Visa und SDP von MasterCard wurden zum einheitlichen PCI DS Standard (Payment Card Industry Data Security Standard) zusammengeführt.

Die Einführung dieses Standards soll Sie als Händler, den
Payment Service Providern und Acceptance als Acquirer im Umgang mit den sensiblen und zu schützenden Kreditkartendaten unterstützen.

Es werden Sicherheitsanforderungen für die Entgegennahme, Weiterleitung und Speicherung der Kredit- oder Debitkartendaten definiert. Alle Unternehmen, die mit vertraulichen Daten arbeiten, müssen diese Anforderungen einhalten und durch entsprechende Zertifizierungen nachweisen. So können Schwachstellen und Sicherheitslücken in den diversen Systemen erkannt und behoben werden.

Auf diesem Weg wird der missbräuchlichen Verwendung von Kartendaten effizient vorgebeugt!

Für Sie als Händler ist eine Registrierung und ggf. Zertifizierung erforderlich, auf deren Basis Sie künftig Kredit- und Debitkarten im akzeptieren können. Diese Zertifizierung muss durch ein Unternehmen durchgeführt werden, welches von Visa und MasterCard legitimiert wurde.

Acceptance arbeitet derzeit unter anderem mit dem Dienstleister SRC (Security Research & Consulting GmbH) in Bonn zusammen.

Im Wesentlichen werden die folgenden 12 Punkte geprüft:

1. Installation und regelmäßige Aktualisierung einer Firewall zum Schutz von Daten
2. Keine Verwendung vorgegebener Werte (seitens Lieferanten / Herstellern) für System-Passwörter oder andere Sicherheitsparameter
3. Absicherung gespeicherter Daten, Karten- und Transaktionsdaten nicht unnötig speichern, wie etwa die vollständige Kartennummer, Daten der Magnetstreifenspuren, Kartenverifizierungscode (CVV2) oder PIN
4. Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken
5. Verwendung und regelmäßige Aktualisierung einer Anti-Viren-Software
6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
7. Beschränkung des Datenzugriffs – ausschließlich für geschäftliche Zwecke
8. Zuteilung einer persönlichen ID für jede Person mit Zugang zum Computersystem
9. Zugriffsberechtigungen im Zusammenhang mit sensiblen Karteninhaberdaten einschränken
10. Nachvollziehbarkeit und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Karteninhaberdaten
11. Regelmäßige Überprüfung von Sicherheitssystemen und Prozessabläufen
12. Unternehmensrichtlinie, die das Thema Informationssicherheit regelt

Selbstverständlich steht Ihnen unser Serviceteam bei diesem Prozess gerne zur Seite.

Bitte beachten Sie:

Gemäß Regularien der Kartenorganisationen dürfen Sie nur mit PCI zertifizierten Dienstleistern und Service Providern zusammen arbeiten. Die stets aktuelle Übersicht finden Sie unter dem folgenden link:
http://www.visaeurope.com/documents/ais/pci_dss.pdf?110809

Einen Überblick über die Vorteile von PCI DSS und die sich daraus ergebenen Umsetzungsaktivitäten in Ihrem Haus können Sie dem beigefügten Quick Reference Guide (in englischer Sprache) und der PCI Kurzinformation entnehmen.