SIND DIE ZAHLUNGSDATEN IHRER KUNDEN WIRKLICH SICHER? White Paper von Chase Paymentech

Transkript

1 SIND DIE ZAHLUNGSDATEN IHRER KUNDEN WIRKLICH SICHER? White Paper von Chase Paymentech

2 Eine Datenschutzverletzung kostet Händler durch verlorene Kunden und Verkäufe potenziell Millionen. In diesem White Paper diskutieren wir eine Reihe möglicher Gefahren für die Sicherheit Ihrer Kundendaten sowie einige einfache Maßnahmen, mithilfe derer Sie die Zahlungsdaten Ihrer Kunden besser schützen können. Die Einführung von Payment Card Industry Data Security Standards (PCI-DSS) vor zehn Jahren hat stark dazu beigetragen, Kunden und E-Commerce-Händler vor immer geschickter vorgehenden Kriminellen zu schützen, die es darauf abgesehen haben, persönliche Daten zu stehlen 1. E-Commerce-Seiten bleiben mit 48 untersuchten Vorfällen pro Jahr weiterhin Hauptangriffsziel für Datenschutzverletzungen 2. Warum? Weil sich Zahlungsdaten von Kriminellen am besten verkaufen und zu Geld machen lassen können 3. Der starke Boom von E-Commerce und M-Commerce hat bei Händlern für zusätzliche Risiken gesorgt. Im Wettkampf darum, das Kaufverhalten zu verstehen und Kundenbedürfnisse vorherzusehen, ist es für Händler immer wichtiger geworden, Daten zu analysieren. Dies kann dazu führen, dass sensible persönliche Kunden- und Kartendaten gespeichert, in einer Organisation an verschiedenen Stellen verwendet und möglicherweise innerhalb der Lieferkette auch an Partner weitergegeben werden. In diesem kurzen White Paper betrachten wir drei Geschäftsrisiken, mit denen E-Commerce-Händler heutzutage konfrontiert werden, und ziehen Techniken in Erwägung, die dabei helfen könnten, eine effektive Datenschutz-Strategie zu entwickeln. 2 3

3 Millionen ZUNEHMENDE GESCHÄFTSRISIKEN 1. ERHÖHTES FINANZIELLES RISIKO IM FALLE EINER DATENSCHUTZVERLETZUNG Beunruhigenderweise ist die Zahl der von Datenschutzverletzungen betroffenen Unternehmen in den letzten Jahren gestiegen, 4 und das trotz Rekordzahlen im Bereich der PCI-DSS-Compliance 5. Sogar große, namhafte Händler sind böswilligen Angriffen zum Opfer gefallen, die in den letzten Jahren immer komplexer und raffinierter geworden sind. Solche Datenschutzverletzungen können den Verlust von Millionen Kunden-Kartendaten, Passwörtern und anderen persönlichen Daten zur Folge haben. In Deutschland, den USA und GB stehen die durchschnittlichen Verluste durch eine Datenschutzverletzung für Unternehmen nun bei 4,8 Millionen US$ (3,67 Millionen ), 5,4 Millionen US$ bzw. 3,1 Millionen US$ (2,04 Millionen ) 6. Der Anteil der aus einem Unternehmensverlust resultierenden Gesamtkosten bewegt sich zwischen 36 Prozent in Deutschland und 56 Prozent in den USA. Die restlichen Kosten entstehen aus der Notwendigkeit, alle Datenschutzverletzungen zu untersuchen und entsprechend auf sie zu reagieren 7. Durchschnittliche Gesamtkosten durch Datenschutzverletzungen in Deutschland: : DATEN, DATEN ÜBERALL Erfolgreiche Multi-Channel-Händler verlassen sich auf Datenanalytiker, die durch das Erstellen von Customer Insights für personalisiertere, verbesserte Kundenerfahrungen sorgen können. Die Analyse von Kundentransaktionen und -verhalten kann es aber sowohl kostspieliger als auch schwieriger machen, Zahlungsdaten im Einzelhandelsbereich zu schützen. Für Daten, die vom Händler auf eigenen Servern, in eigenen Geschäftssystemen und Anwendungen gespeichert bleiben (man bezeichnet dies als at rest / im Ruhezustand) ist das Risiko einer Datenschutzverletzung oft größer als bei Daten, die direkt auf das Zahlungssystem bezogen sind ( in Transit ) 9. Die wachsende Zahl an Anwendungen, die diese Daten verwenden, ob at rest/ im Ruhezustand oder in Transit, kann Customer Relationship Management, ERP, Kundentreue, Data-Warehouse-Analyse, Ein-Klick-Kauf und wiederholte oder wiederkehrende Zahlungen beinhalten. Um der Zahlungsdaten-Compliance zu entsprechen, müssen all diese Daten, selbst wenn sie verschlüsselt sind, jährlich kontrolliert werden. Da mehr und mehr Daten innerhalb und außerhalb von Unternehmen in Bewegung sind (insbesondere Daten, die an Partner in der Logistikkette weitergegeben werden), kann der Prozess der Nachverfolgung und Sicherung dieser Daten mit erhöhtem Aufwand verbunden sein. Dies kann dazu führen, dass jedes Jahr mehr Ressourcen und Zeit darauf verwendet werden müssen, weiterhin die PCI-DSS Compliance gewährleisten zu können. 3: NEUE TECHNOLOGISCHE BEDROHUNGEN IM GESCHÄFTSBEREICH Gemäß dem Verizon Data Breach Investigations Report beinhalten über 67 Prozent der Datenschutzverletzungen im Einzelhandels- und Gastgewerbe eine Form von Malware und bei 76 Prozent ist Hacking im Spiel 10. Jedoch können Datenschutzverletzungen aufgrund von menschlichem Fehlverhalten, Systemstörungen oder Business-Process- Ausfällen genauso häufig vorkommen. Zum Beispiel Daten, die ungesichert auf einem verlorengegangenen Laptop liegen oder Daten, die an die private - Adresse eines Mitarbeiters gesendet werden, die im Allgemeinen unsicherer ist als in einer normalen Arbeitsumgebung. Die neuste Version der PCI-DSS-Richtlinien, die seit dem 1. Januar 2014 in Kraft ist, beinhaltet neue Vorkehrungen bezogen auf die erhöhte Anzahl an mobilen Transaktionen, gesteigerte Nutzung von Cloud Computing und Virtualisierung, vermehrte Nutzung von eigenen Geräten am Arbeitsplatz und eine mögliche Zunahme von Malware auf Linux-Plattformen (das Betriebssystem, das aktuell häufig für Webserver verwendet wird) 11. Diese jüngsten Entwicklungen im Bereich der Verkaufstechnologie können es zu einer größeren Herausforderung werden lassen, Zahlungsdaten zu schützen und den Datenfluss in einem Unternehmen zu überwachen. In manchen Fällen fällt eine Datenschutzverletzung erst nach Wochen, Monaten oder sogar Jahren auf 12, und je länger es dauert, bis die Verletzung entdeckt wird, desto größer ist die Wahrscheinlichkeit, dass ein höherer Schaden und höhere Kosten für das Unternehmen und die Kunden entstehen. 4 5

4 ES GIBT EINE LÖSUNG Die gesteigerte Komplexität der PCI-DSS-Compliance veranlasst möglicherweise viele Händler dazu, sich nach alternativen Methoden zur Sicherung ihrer Zahlungsdaten umzuschauen und die jährlichen Kosten für die PCI-DSS-Compliance zu senken. Hierzu gelten zwei Methoden als besonders nützlich und effektiv. TOKENNUTZUNG: SCHUTZ IHRER GESPEICHERTEN DATEN Diese Technologie geht die Sicherheit von Karteninhaber-Daten im Ruhezustand ( at rest ) an und ersetzt Kontonummer und andere sensible Daten mit alternativen Identifikatoren (oder Token). Sobald dieser Prozess korrekt abgeschlossen wurde, sind wertvolle Kartendaten damit für jeden Betrüger wertlos. Durch die Verwendung von Token können viele Systeme, die mit Kundendaten arbeiten, aus der PCI- DSS-Compliance genommen werden, was Zeit, Mühe und knappe Ressourcen spart. Der gewählte Ansatz der Tokennutzung muss jedoch mit Ihren bestehenden Zahlungsanwendungen, Geschäftssystemen und -prozessen kompatibel sein, damit die Daten für Ihr Unternehmen zugänglich und nutzbringend sind. Kreditkartenunternehmen wie Visa, MasterCard und American Express sind von der Tokennutzung als Möglichkeit zur Vermeidung von kostspieligen Datenschutzverletzungen überzeugt, während über die Hälfte der kürzlich von Chase Paymentech befragten Online- Händler (56 Prozent) 13 erkannt haben, dass die Verwendung von Token für die PCI-DSS-Compliance nützlich ist. HOSTED PAYMENT PAGE: SCHUTZ IHRER AKZEPTANZ-DATEN Da die Tokennutzung in der Regel nach der Autorisierung erfolgt, sorgt sie nicht für Sicherheit und Compliance in der ersten Akzeptanzphase. Eine effektive Lösung für die erste Akzeptanzphase ist die Nutzung einer Hosted Payments Page, die entweder in Form einer separaten Website oder eines auf einer sicheren Seite gehosteten einzelnen Bestellformulars erfolgen kann. Kunden geben ihre vertraulichen Zahlungsdaten direkt in diese sichere Umgebung ein, und die Transaktion läuft wie gewohnt ab. Da die Zahlungsdaten weder vom Händler empfangen noch gespeichert werden, kann diese Lösung dabei helfen, die Anforderungen bezüglich der PCI-DSS-Compliance zu erfüllen. In unserer Umfrage stellten 65 Prozent der Händler in Deutschland fest, dass Hosted Payment Pages für die PCI-DSS- Compliance nützlich sind, aber trotzdem nutzten nur 39 Prozent von ihnen bereits eine Hosted Payment Page über einen Drittanbieter 14. WELCHE LÖSUNG IST DIE RICHTIGE FÜR MEIN UNTERNEHMEN? Da Geschäftsumgebungen und Systemarchitektur sehr unterschiedlich ausfallen können, ist es ratsam, mit Ihrem Acquirer zu besprechen, welche Lösung am besten geeignet ist, um Ihr Geschäftsmodell zu ergänzen. Ist Ihr Prozess der Tokennutzung mit Ihrer Datenanalyse kompatibel? Stellen Sie sicher, dass die Struktur Ihres Tokennutzungssystems es Ihnen ermöglicht, weiterhin Mehrfachverwendungen eines bestimmten Kunden oder einer bestimmten Karte zu verfolgen. Ist die Architektur des Tokennutzungssystems skalierbar? Ihr Level der PCI-Compliance hängt vom Transaktionsvolumen ab. Wenn Ihr Unternehmen wächst, hat dies möglicherweise Einfluss auf das Architekturdesign Ihrer Lösung. Welche Daten wird der Token enthalten? Manche Systeme lassen es zu, dass ein komplettes Kundenprofil im Token enthalten ist, sodass Kundenname, Adresse, -Adresse, AVS-Ländercode, Menge, Bestellungsbeschreibung und Bestell-ID sowie Gültigkeit der Karten und andere Zahlungsdaten auf sichere Art und Weise für eine Datenanalyse zur Verfügung gestellt werden können. Muss es sich bei den Token um einmal oder mehrfach verwendbare Token handeln? Wenn Sie das Verhalten bestimmter Kunden verfolgen möchten, müssen Sie womöglich bei jeder Verwendung der Karte denselben Token benutzen besonders wenn Sie umfangreiche Anwendungen für Customer-Relation-Management oder Treueprogramme nutzen. Wird die ausgewählte Hosted Payment Page genauso aussehen wie die E-Commerce-Seite? Die neusten Hosted-Payment-Page- Lösungen nutzen dynamische Designs, die automatisch aktualisiert werden, um eine einheitliche, reibungslose Kundenerfahrung zu garantieren. Kann man seine Hosted Payment Page individuell anpassen oder personalisieren? Stellen Sie sicher, dass es Ihnen möglich ist, die Funktionen der Hosted Payment Page so einzustellen, dass sie zum Rest Ihrer Seite passt, wie zum Beispiel zum Namen oder zu den Karten, die Sie akzeptieren. Ermöglicht es der Zahlungsanbieter, abgelaufene Karten automatisch zu aktualisieren? Solcherlei Funktionen ermöglichen es den Kunden, ihren Checkout abzuschließen, indem derzeitige Kontonummern und Gültigkeitsdaten, die sich geändert haben, aktualisiert werden können, ohne dass Ihr Kunde kontaktiert werden muss. UM MEHR DARÜBER ZU ERFAHREN, WIE WIR IHNEN DABEI HELFEN KÖNNEN, IHRE MULTI-CHANNEL-KUNDEN ZUFRIEDENZUSTELLEN, KONTAKTIEREN SIE UNS BITTE UNTER: oder besuchen Sie 6 7

5 FÜR WEITERE INFORMATIONEN ZUR PCI-DSS- COMPLIANCE UND DATENSICHERHEIT BESUCHEN SIE: PCI Security Standards Council: Data Security Standard - Requirements and Security Assessment Procedures Version 3.0 (November 2013) Visa: Best Practices for Tokenisation Version (Juli 2010) PCI Security Standards Council: Information Supplement - PCI DSS Tokenisation Guidelines (August 2011) Mastercard Pressemitteilung: MasterCard, Visa and American Express Propose New Global Standard to Make Online and Mobile Shopping Simpler and Safer (1. Oktober 2013) EMVCo: EMV Payment Tokenisation Specification Technical Framework (März 2014) PCI Security Standards Council: Informationsnachtrag: PCI DSS Cloud Computing Richtlinien (Februar 2013) Chase Paymentech, das globale Unternehmen für Payment Processing und Acquiring von JPMorgan Chase & Co. (NYSE: JPM), ist ein führender Anbieter von Zahlungs-, Betrugs- und Datenschutzlösungen, der in der Lage ist, Transaktionen in mehr als 130 Währungen zu autorisieren. Chase Paymentech ist Experte im Bereich des Payment Processing und Acquiring und hilft dabei, Wachstum langfristig zu fördern und zu erhalten. Wir geben außerdem Ratschläge zur Minderung der Risiken von Datendiebstahl und reduzieren Ihre PCI-DSS Verpflichtungen mithilfe von Sicherheitslösungen, die die Kontodetails Ihrer Kunden schützen verarbeitete Chase Paymentech 35,6 Milliarden Transaktionen mit einem Wert von 750,1 Milliarden Dollar. Literaturverzeichnis Chase Paymentech Europe Limited mit dem Firmennamen Chase Paymentech ist eine Tochtergesellschaft von JPMorgan Chase Bank, N.A. und wird von der Irischen Zentralbank reguliert. Eingetragener Firmensitz: EastPoint Plaza, Second Floor, EastPoint Business Park, Dublin 3, Irland. Registriert in Irland bei der CRO unter Nr Vorstand: Shane Fitzpatrick, Kevin Moran, Daniel Charron (USA). Die hierin enthaltenen Informationen oder jegliche beigefügten Dokumente berücksichtigen nicht die individuellen Umstände, Ziele oder Bedürfnisse von Kunden und sind nicht als Empfehlung eines bestimmten Produkts oder einer bestimmten Strategie an bestimmte Kunden gedacht und die Empfänger des herunterladbaren Dokuments sollten ihre eigenen unabhängigen Entscheidungen treffen. Dieses herunterladbare Dokument und die Informationen, die darin enthalten sind, dürfen nur mit ausdrücklicher Genehmigung durch Chase Paymentech Europe Limited ganz oder teilweise für jegliche Zwecke vervielfältigt, veröffentlicht oder benutzt werden. 2014, Chase Paymentech Europe Limited. Alle Rechte vorbehalten. 1 Verizon 2014 PCI Compliance Report 2 Trustwave: 2013 Global Security Report (2013) Diagramm 3 3 Verizon 2014 PCI Compliance Report Seite 6 4 Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis (Mai 2013) 5 Verizon 2014 PCI Compliance Report 6 Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis (Mai 2013) Diagramm 3 7 Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis (Mai 2013) Diagramm Ponemon Institute: 2013 Cost of Data Breach Study: Deutschland (Mai 2013) Diagramm 2 9 Verizon: 2014 PCI Compliance Report Seite Verizon: Research Report Threat Landscape Retail, Accommodation and Food Services (2013) 11 Verizon 2014 PCI Compliance Report Seite Verizon: 2013 Data Breach Investigations Report (2013) Diagramm 5 66 % aller Datenschutzverletzungen wurden erst Monate oder Jahre später aufgedeckt 13 Dynamic Markets: CNP Payment Challenges in 2014 (März 2014) 14 Dynamic Markets: CNP Payment Challenges in 2014 (März 2014)