Account Information Security Programme
Allgemeine Informationen
Neue Sicherheitsstandards für die Aufbewahrung und
Weiterverarbeitung sensibler Karteninhaberdaten
Kreditkartenzahlungen erfreuen sich großer Beliebtheit. Der
Schutz von Kreditkarteninformationen und Transaktionsdaten ist
jedoch Voraussetzung für das Vertrauen der Verbraucher in diese
Zahlungsform. Um dieses Vertrauen – für alle an einer
Kartentransaktion beteiligten Parteien – zu stärken und weiter
auszubauen, spielt das Thema Sicherheit bei Visa stets eine
zentrale Rolle. So wurden nicht erst in jüngster Zeit immer wieder
Programme zur Missbrauchsbekämpfung und Betrugsvorbeugung
entwickelt.
Welche Funktion hat das “Account Information Security
Programme”?
Bereits im Jahr 2000 hat Visa International das Programm
„Account Information Security (AIS)“ eingeführt und ein Jahr später
auf globaler Ebene implementiert. Zielsetzung von AIS ist die
Unterstützung von Händlerbanken, Händlern, Service Providern und
anderen externen Dienstleistern beim sicheren Umgang mit sensiblen
Karten- und Transaktionsdaten. Das Programm definiert
Sicherheitsanforderungen für die Verarbeitung, Speicherung und
Übertragung von vertraulichen Informationen. Damit sollen
eventuelle Sicherheitslücken in den eigenen Systemen identifiziert
und mögliche Folgeschäden abgewendet werden.
Was sind die “Payment Card Industry (PCI) Data Security
Standards”?
Um eine einheitliche Vorgehensweise bei der Umsetzung dieser
Sicherheitsanforderungen zu ermöglichen, haben sich die
Kartenorganisationen Visa und MasterCard auf gemeinsame Standards
geeinigt. Diese tragen die Bezeichnung „Payment Card Industry (PCI)
Data Security Standards“ und haben Gültigkeit für die gesamte
Kartenzahlungsbranche.
Das PCI-Datenschutz-Regelwerk umfasst zwölf Punkte, deren
Einhaltung von allen Visa Akzeptanzstellen und Service Providern
sicherzustellen ist:
- Installation und regelmäßige Aktualisierung einer Firewall zum
Schutz von Daten
- Keine Verwendung vorgegebener Werte (seitens Lieferanten /
Herstellern) für System-Passwörter oder andere
Sicherheitsparameter
- Absicherung gespeicherter Daten, Karten- und Transaktionsdaten
nicht unnötig speichern, wie etwa die vollständige Kartennummer,
Daten der Magnetstreifenspuren, Kartenverifizierungscode (CVV2)
oder PIN
- Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen
Informationen in offenen Netzwerken
- Verwendung und regelmäßige Aktualisierung einer
Anti-Viren-Software
- Entwicklung und Verwendung sicherer Systeme und
Anwendungen
- Beschränkung des Datenzugriffs – ausschließlich für
geschäftliche Zwecke
- Zuteilung einer persönlichen ID für jede Person mit Zugang zum
Computersystem
- Zugriffsberechtigungen im Zusammenhang mit sensiblen
Karteninhaberdaten einschränken
- Nachvollziehbarkeit und Überwachung aller Zugriffe auf
Netzwerk-Ressourcen und Karteninhaberdaten
- Regelmäßige Überprüfung von Sicherheitssystemen und
Prozessabläufen
- Unternehmensrichtlinie, die das Thema Informationssicherheit
regelt
Was bedeuten die PCI-Datenschutz-Standards für Visa
Vertragsunternehmen?
Händler und Service Provider sind aufgefordert, die „PCI Data
Security Standards“ bei der Verarbeitung von Karten- und
Transaktionsdaten einzuhalten. Konkret bedeutet dies, dass sie
einen Zertifizierungsprozess durchlaufen müssen, der durch ein von
Visa und MasterCard autorisiertes Unternehmen ausgeführt wird.
Die Programme von Visa (Account Information Security – AIS) und
MasterCard (Site Data Protection – SDP) bleiben weiterhin bestehen.
Die PCI-Datenschutz-Standards umfassen jedoch die
Prüfungsanforderungen beider Programme, so dass aufgrund der
gemeinsamen, einheitlichen Standards, ein Händler oder Service
Provider den Zertifizierungsprozess nur einmal absolvieren muss und
nicht getrennt für beide Kartensysteme.
Über Art und Umfang des Zertifizierungsablaufs entscheiden u.a.
die monatliche Anzahl der Transaktionen sowie die Transaktionsart
(Standardtransaktion, E-Commerce oder Telefon/Versandhandel
(Mail/Phone Order)).
Nachfolgende Tabelle stellt die Anforderungen nach Anzahl und
Art der Transaktionen dar:
|
Anzahl der
Transaktionen
pro Jahr
|
Standardtransaktionen /
Mail/Phone Order-Transaktionen,
E-Commerce-Transaktionen
|
Maßnahmen
|
|
Jährliche Vor-Ort
Prüfung
|
Vierteljährlicher
Sicherheits-check
|
Selbstauskunft
in Form eines
Fragebogens
|
|
Mehr als 6 Mio.
|
Alle
|
Obligatorisch
|
Obligatorisch
|
|
|
Weniger als 6 Mio.
|
Standardtransaktionen /
Mail/Phone Order
|
|
Empfohlen
|
Empfohlen
|
|
Zwischen 20.000 und 6 Mio.
|
E-Commerce
|
|
Obligatorisch
|
Obligatorisch
|
|
Weniger als 20.000
Transaktionen
|
E-Commerce
|
|
Empfohlen
|
Empfohlen
|
Was können Händler tun, um mit dem Zertifizierungsprozess zu
beginnen und sicherzustellen, dass sie die
PCI-Datenschutz-Standards erfüllen?
Es wird folgende Vorgehensweise vorgeschlagen:
- Abrufen weiterer Details (in englischer Sprache) zum „Account
Information Security Programme“ unter
dem Link sowie Herunterladen des Leitfadens „PCI Data
Security Standards Guide“.
- Vertragsunternehmen, einschließlich das in
Zahlungstransaktionen involvierte Personal, sollten sich mit den
PCI-Datenschutz-Standards vertraut machen und diese im Unternehmen
umsetzen.
- Kontaktaufnahme mit der Händlerbank, um weitere Details im
Zusammenhang mit dem Zertifizierungsprozess zu besprechen.
- Durchführung / Vorbereitung der oben skizzierten Maßnahmen (s.
Tabelle) - in Abhängigkeit vom Transaktionsvolumen.
- Einleitung von Korrekturmaßnahmen im Zusammenhang mit
möglicherweise identifizierten Sicherheitslücken oder
Schwachstellen.
- Wenn die PCI-Datenschutz-Standards erfüllt sind, sicherstellen,
dass diese auch weiterhin eingehalten werden.
Unterstützung bei weiteren Fragen zu dieser Thematik sowie zur
Zertifizierung erhalten Visa Vertragsunternehmen direkt von ihrer
jeweiligen Visa Händlerbank – mit der sie einen Vertrag zur
Akzeptanz von Visa Karten abgeschlossen haben.