PCI DSS Vertrauen durch Sicherheit
02
Payment Cards Industry Data Security Standard: PCI DSS KARTENMISSBRAUCH: EIN IMMER AKTUELLES THEMA
Geschäfte tätigen Sie nur mit Menschen, denen Sie vertrauen? Da geht es Ihren Kunden nicht anders. Wer Ihnen seine Bank- oder Kreditkartendaten anvertraut, erwartet höchstmögliche Sicherheit. Der weltweite Sicherheitsstandard Payment Cards Industry Data Security Standard (PCI DSS) unterstützt Sie dabei, die Sicherheit sensibler und schützenswerter Karteninhaberdaten sicherzustellen und das Vertrauen Ihrer Kunden zu erhalten.
Moderne Chiptechnologien und Terminals mit Manipulationsschutz machen das bargeldlose Bezahlen noch sicherer. Doch Kartenbetrüger tüfteln laufend an neuen Tricks, um an Karteninhaberdaten zu kommen, mit denen sie dann illegale Geschäfte tätigen. Gelingt ihnen das, kann der Schaden beträchtlich sein. Denn schwerer als finanzielle Einbußen wiegen Vertrauens- und Imageverlust für Ihr Geschäft.
PCI DSS SCHÜTZT DIE DATEN IHRER KUNDEN PCI DSS (Payment Cards Industry Data Security Standard) ist ein weltweiter Sicherheitsstandard für den kartengestützten Zahlungsverkehr. 2004 von führenden Kartenorganisationen ins Leben gerufen, sorgt das kartenübergreifende Regelwerk für einen sicheren Umgang mit den Daten Ihrer Kunden. Alle Händler und Dienstleister im kartengestützten Zahlungsverkehr, die Karteninhaberdaten speichern, übermitteln oder verarbeiten, müssen diesen Standard erfüllen.
DER PCI DSS STANDARD ENTHÄLT FOLGENDE SICHERHEITSANFORDERUNGEN �Installation und Aufrechterhaltung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten �Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden �Schutz gespeicherter Karteninhaberdaten �Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze �Verwendung und regelmäßige Aktualisierung von Antivirensoftware �Entwicklung und Wartung sicherer Systeme und Anwendungen �Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf �Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten �Physischen Zugriff auf Karteninhaberdaten beschränken �Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten �Regelmäßiges Testen der Sicherheitssysteme und -prozesse
Diese Kartenprodukte orientieren sich am PCI DSS-Standard
�Verwaltung einer Informationssicherheitsrichtlinie für das gesamte Personal
2
3
04
Der Nachweis für mehr Sicherheit
MIT SICHERHEIT IN GUTEN HÄNDEN Mit Deutschlands führendem Netzbetreiber und Acquiring-Institut Ingenico Payment Services gehen Sie auf Nummer Sicher. Die strengen Ingenico Payment Services Sicherheitsstandards tragen dazu bei, die Fälle von Kartenmissbrauch und Terminalmanipulation effektiv einzudämmen. Auf unserer internetbasierten PCI DSS-Plattform www.pci.mc.ingenico.com finden Sie in Ihrem persönlichen Händlerbereich umfassende Informationen darüber, wie Sie Auskunfts- und Dokumentationsprozesse regelkonform gestalten. Mit den durch Ingenico Payment Services bereitgestellten Legitimationsdaten können Sie sich jederzeit anmelden. Sollten Sie keinen Zugriff haben, schalten wir Sie schnell frei!
SO ERBRINGEN SIE IHREN PCI DSSNACHWEIS Den PCI DSS-Nachweis erbringen Sie, indem die Sicherheitsanforderungen die auf Ihr Unternehmen zutreffen, erfüllt werden. Welche das im Einzelnen sind, ergibt sich aus der Einstufung des Händlers und der Ermittlung des Selbstbeurteilungsfragebogen. Diese werden bei der Registrierung auf der PCI DSS-Plattform ermittelt. Je nach Größe und Risikopotential des Händlers ergeben sich bestimmte Vorgaben für den Validierungsprozess. Nach Abschluss der Registrierung ist bekannt, welche Sicherheitsanforderungen in welcher Ausprägung ein Händler durchzuführen hat. Welche PCI DSS-Sicherheitsanforderungen an einen Händler gestellt werden, hängt u.a. von
Nachweispflicht Händlerkategorie
der Höhe der jährlich abgewickelten Kartentransaktionen, des Vertriebskanals (Präsenz- oder Fernabsatzgeschäft) und der Zugehörigkeit zu einer bestimmten Branche z.B. Hotels oder Fernabsatzgeschäft (E-Commerce), ab.
>6.000.000 Transaktionen pro Jahr
Sicherheitsscan des Händlernetzwerks
AoC
erforderlich
2
erforderlich
2
erforderlich
2
–
erforderlich
2
–
erforderlich
2
–
Sicherheitsüberprüfung vor Ort
Ja
Ja
jährlich
alle Vertriebskanäle (POS, E-Commerce, MoTo) Kategorie 2: >1.000.000 Transaktionen pro Jahr
jährlich Ja
Ja
alle Vertriebskanäle (POS, E-Commerce, MoTo) Kategorie 3: E-Commerce-Händler >20.000 Transaktionen pro Jahr
Anmeldung und Registrierung nehmen nur wenige Augenblicke in Anspruch. Bei der Registrierung werden die notwendigen Schritte zur Erreichung der PCI DSS-Konformität ermittelt.
4
Selbstbeurteilungsfragebogen
Kategorie 1:
Die folgende Tabelle gibt Aufschluss darüber, wie und in welchem Umfang Anforderungen an das Unternehmen bestehen.
Kategorie 4: E-Commerce-Händler
