Missbrauchsbekämpfungsmaßnahmen



Ähnliche Dokumente
Account Information Security Programme - Allgemeine Informationen -

Informationsblatt Missbrauchsbekämpfungsmaßnahmen Sicherheitsprogramme Kreditkartenakzeptanz Anlage zum Vertrag über die Kartenakzeptanz

Sicherheit im Fokus. Eine erfolgreiche Kartenzahlung beruht auf Sicherheit.

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

Sicherheit im Fokus Eine erfolgreiche Kartenzahlung beruht auf Sicherheit.

Kontaktlos bezahlen mit Visa

Zahlen bitte einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger. SIX Card Solutions Deutschland GmbH Johannes F.

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Sicherer einkaufen im Internet. Ihre Registrierung für 3D Secure auf der HVB Website Schritt für Schritt.

Synchronisations- Assistent

Häufig gestellte Fragen

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Mindestanforderungen an. Inland ECDIS Geräte im Informationsmodus und vergleichbare Kartenanzeigegeräte. zur Nutzung von Inland AIS Daten

Händlerbedingungen für das System GeldKarte

Fachdokumentation TA 7.0-Umstellung

zur SEPA-Umstellung am Point of Sale: ec-kartenzahlungen mit PIN-Eingabe (SCC) und ohne PIN- Eingabe (SDD) InterCard AG InterCard Händlerinformation

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Dialyse Benchmark - Online so funktioniert s

UMSTELLUNG DIREKT-TRANSAKTION DIALOG-TRANSAKTION VON AUF. VR-Pay virtuell Shop Umstellung auf Dialog-Transaktion

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Qualitätssicherungsvereinbarung zur Herzschrittmacher-Kontrolle. Vereinbarung

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

Vorschriften zur elektronischen Abwicklung von ServiceCards über das internetbasierte ServiceCardPortal

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Management von Beschwerden und Einsprüchen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

ICS-Addin. Benutzerhandbuch. Version: 1.0

Firewalls für Lexware Info Service konfigurieren

Mehr Sicherheit für Ihre MasterCard. mit 3D Secure und mobiletan

Formular»Fragenkatalog BIM-Server«

Firewalls für Lexware Info Service konfigurieren

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Manuelle Konfiguration einer VPN Verbindung. mit Microsoft Windows 7

Überall kassieren mit dem iphone

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Homebanking-Abkommen

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Änderung des Portals zur MesseCard-Abrechnung

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

DCCP (Data Collection Cash Processing) Schaubild Version 1.0

s-sparkasse Verlassen Sie sich darauf: giropay ist sicher. Sparkassen-Finanzgruppe

Datenumzug mit dem Datenumzugsassistenten

Internet Explorer Version 6

Online Schulung Anmerkungen zur Durchführung

Volksbank Oelde-Ennigerloh-Neubeckum eg

How to do? Projekte - Zeiterfassung

Benutzerhandbuch - Elterliche Kontrolle

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Elektronischer Kontoauszug

SICHER ZAHLEN MIT DER KREDITKARTE IM INTERNET. Sicher Online einkaufen

Leichte-Sprache-Bilder

Kurzeinstieg in VR-Ident personal

Ausfüllhilfe für die ESTA Beantragung zur Einreise in die Vereinigten Staaten

Der Datenschutzbeauftragte

HTBVIEWER INBETRIEBNAHME

Besondere Geschäftsbedingungen für die Teilnahme an Sicheren Systemen. Präambel

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Anwenden eines Service Packs auf eine Workstation

Fragen und Antworten

BSV Software Support Mobile Portal (SMP) Stand

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

teischl.com Software Design & Services e.u. office@teischl.com

MWSoko Erste Schritte

So nutzen Sie VOICEMEETING. Vereinbaren Sie mit allen Konferenzteilnehmern den genauen Zeitpunkt, zu dem die Konferenz stattfinden soll.

Maintenance & Re-Zertifizierung

Verbrauchertipp! Gesetz zur Button-Lösung

Tipps und Tricks zu den Updates

Onlineaccess. Kartenverwaltung und mehr Sicherheit per Mausklick.

Informationen für Händler

Für die Einrichtung des elektronischen Postfachs melden Sie sich wie gewohnt in unserem Online-Banking auf an.

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Zahlen bitte - einfach, schnell und sicher! E-Payment-Lösungen für Profis und Einsteiger

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Kapitel I: Registrierung im Portal

Import der Schülerdaten Sokrates Web

Installationsanleitung CLX.PayMaker Office (3PC)

Upgrade von Windows Vista auf Windows 7

Bedienungsanleitung für den SecureCourier

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Sicher einkaufen Trusted Shop Gütesiegel - Preiswerte Baustoffe online kaufen.

Handout Wegweiser zur GECO Zertifizierung

Leitfaden zur Nutzung des Systems CryptShare /Sicheres Postfach

Proxyeinstellungen für Agenda-Anwendungen

Anleitung Grundsetup C3 Mail & SMS Gateway V

Kartensicherheit für Händler

Updatehinweise für die Version forma 5.5.5

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Weisung 2: Technische Anbindung

Kommunikations-Management

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

FTP-Leitfaden RZ. Benutzerleitfaden

TECHNISCHE INFORMATION LESSOR LOHN/GEHALT BEITRAGSNACHWEIS-AUSGLEICH BUCH.-BLATT MICROSOFT DYNAMICS NAV

Internationales Altkatholisches Laienforum

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Transkript:

Anlage für Servicevereinbarung zur Kartenakzeptanz Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich einer immer größer werdenden Beliebtheit. Der Schutz von Kreditkarteninformationen und Transaktionsdaten ist jedoch Voraussetzung für das Vertrauen der Verbraucher in diese Zahlungsform. Um dieses Vertrauen für alle an einer Kartentransaktion beteiligten Parteien zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei Visa und MasterCard stets eine zentrale Rolle. So wurden nicht erst in jüngster Zeit immer wieder Maßnahmen zur Missbrauchsbekämpfung und Betrugsvorbeugung entwickelt. Aber nicht nur Verbraucher profitieren von dem höheren Maß an Sicherheit, auch für den Handel verbinden sich damit positive Auswirkungen. Zufriedenere Kunden generieren höhere Umsätze, Betrugsverluste lassen sich nachhaltig reduzieren und die Zahl der Reklamationen kann gesenkt werden. Welche Funktion haben Account Information Security Programme und Site Data Protection Programme? Bereits im Jahr 2000 hat Visa International das Programm Account Information Security (AIS) eingeführt und ein Jahr später auf globaler Ebene implementiert. MasterCard hat mit dem Site Data Protection Programme (SDP) ebenfalls ein vergleichbares Sicherheitsprogramm eingeführt. Zielsetzung von AIS und SDP ist die Unterstützung von Händlerbanken, Händlern, Service Providern bzw. Netzbetreibern und anderen externen Dienstleistern beim sicheren Umgang mit sensiblen Karten- und Transaktionsdaten. Die Programme definieren Sicherheitsanforderungen für die Verarbeitung, Speicherung und Übertragung von vertraulichen Informationen. Damit sollen eventuelle Sicherheitslücken in den eigenen Systemen identifiziert und mögliche Folgeschäden abgewendet werden. Was sind die Payment Card Industry (PCI) Data Security Standards? Um eine einheitliche Vorgehensweise bei der Umsetzung dieser Sicherheitsanforderungen zu ermöglichen, haben sich die Kartenorganisationen Visa und MasterCard zu Beginn dieses Jahres auf gemeinsame Standards geeinigt. Diese tragen die Bezeichnung Payment Card Industry (PCI) Data Security Standards und haben Gültigkeit für die gesamte Kartenzahlungsbranche. Das PCI-Datenschutz-Regelwerk umfasst zwölf Punkte, deren Einhaltung von allen Akzeptanzstellen und Service Providern sicherzustellen und gegebenenfalls nachzuweisen ist: 1. Installation und regelmäßige Aktualisierung einer Firewall zum Schutz von Daten 2. Keine Verwendung vorgegebener Werte (seitens Lieferanten / Herstellern) für System- Passwörter oder andere Sicherheitsparameter 3. Absicherung gespeicherter Daten, Karten- und Transaktionsdaten nicht unnötig speichern, wie etwa die vollständige Kartennummer, Daten der Magnetstreifenspuren, Kartenverifizierungscode bzw. Kartenprüfziffer (CVV2/CVC2) oder PIN 4. Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken 1

5. Verwendung und regelmäßige Aktualisierung einer Anti-Viren-Software 6. Entwicklung und Verwendung sicherer Systeme und Anwendungen 7. Beschränkung des Datenzugriffs ausschließlich für geschäftliche Zwecke 8. Zuteilung einer persönlichen ID für jede Person mit Zugang zum Computersystem 9. Zugriffsberechtigungen im Zusammenhang mit sensiblen Karteninhaberdaten einschränken 10. Nachvollziehbarkeit und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Karteninhaberdaten 11. Regelmäßige Überprüfung von Sicherheitssystemen und Prozessabläufen 12. Unternehmensrichtlinie, die das Thema Informationssicherheit regelt Was bedeuten die PCI-Datenschutz-Standards für Vertragsunternehmen? Vertragsunternehmen und Service Provider sind verpflichtet, die PCI Data Security Standards bei der Verarbeitung von Karten- und Transaktionsdaten einzuhalten. Konkret bedeutet dies, dass sie einen Zertifizierungsprozess durchlaufen müssen, der durch ein von Visa und MasterCard autorisiertes Unternehmen ausgeführt wird. Die Programme von Visa (Account Information Security AIS) und MasterCard (Site Data Protection SDP) bleiben weiterhin bestehen. Die PCI-Datenschutz-Standards umfassen jedoch die Prüfungsanforderungen beider Programme, so dass aufgrund der gemeinsamen, einheitlichen Standards, ein Vertragsunternehmen oder Service Provider den Zertifizierungsprozess nur einmal absolvieren muss und nicht getrennt für beide Kartensysteme. Über Art und Umfang des Zertifizierungsablaufs entscheiden u.a. die monatliche Anzahl der Transaktionen, die Transaktionsart (Standardtransaktion, E-Commerce oder Telefon/Versandhandel Mailund (Tele)Phone Order (MOTO) und die Tatsache, inwiefern Kreditkartendaten gespeichert werden. Werden Kreditkartendaten beim Vertragsunternehmen und/oder Service Provider gespeichert, so ist eine Zertifizierung unabhängig von der Transaktionsanzahl obligatorisch. Die nachfolgende Tabelle stellt die Anforderungen der Kartenorganisationen an Händlerbanken nach Anzahl und Art der Transaktionen der angeschlossenen Vertragsunternehmen dar: Maßnahmen Anzahl der Standardtransaktionen / Transaktionen Mail-und(Tele)Phone Order, Selbstauskunft Jährliche Vor- Vierteljährlicher pro Jahr E-Commerce in Form eines ort Prüfung Sicherheitscheck Fragebogens Mehr als 6 Mio. Alle Obligatorisch Obligatorisch Obligatorisch Weniger als 6 Mio. Zwischen 20.000 und 6 Mio. Weniger als 20.000 Standardtransaktionen / Mail-und (Tele)Phone Order Obligatorisch wenn Kreditkartendaten gespeichert werden Empfohlen E-Commerce Obligatorisch Obligatorisch E-Commerce Obligatorisch wenn Kreditkartendaten gespeichert werden Empfohlen 2

Was können Vertragsunternehmen tun, um konform den Sicherheitsprogrammen und den vertraglichen Regelungen der First Cash Solution Kreditkartenzahlungen zu akzeptieren? Die Mindestanforderung der First Cash Solution an die Transaktionsverarbeitung lautet: Keine Speicherung von Kreditkartendaten durch das Vertragsunternehmen bzw. durch beauftragte Dienstleister oder Partner (z.b. Inkassounternehmen, Hotelbuchungssystemen, etc.). Nutzung eines von der First Cash Solution freigegebenen Service Providers zur Transaktionsverarbeitung und Transaktionseinreichung. Bei E-Commerce ist ausschließlich die Nutzung einer Pay-Page (Bezahlseite) im technischen Betrieb eines der von der First Cash Solution freigegebenen Payment Service Providers (PSP) zugelassen. Es dürfen keine Kreditkartendaten im eigenen technischen Umfeld des Vertragsunternehmens (Online-Shopsystem, eigenen Kundendatenbanken etc.) gespeichert (auch nicht zwischengespeichert) werden. Bei E-Commerce sind zudem die epayment-verfahren VERIFIED by VISA und MasterCard SecureCode verpflichtend anzuwenden. Neben den Sicherheitsprogrammen AIS und SDP bieten diese Verfahren die Möglichkeit zur Authentifizierung der Karteninhaber während des Zahlvorgangs, ähnlich einer Unterschriftsprüfung am realen POS. Der Karteninhaber zahlt weiterhin wie bisher mit der Eingabe seiner Kreditkartendaten (Kartennummer, Ablaufdatum und Kartenprüfziffer CVV2/CVC2). Was können Vertragsunternehmen tun, für die eine Prüfung obligatorisch ist, um mit dem Zertifizierungsprozess zu beginnen und sicherzustellen, dass sie die PCI- Datenschutz-Standards erfüllen? Es wird folgende Vorgehensweise vorgeschlagen: Abrufen weiterer Details zum VISA Account Information Security Programme und zum MasterCard Site Data Protection Programme inkl. PCI Data Security Standards Guide (in englischer Sprache) unter den folgenden URLs: http://www.visaeurope.com/aboutvisa/security/ais/main.jsp http://www.visaeurope.com/aboutvisa/security/ais/main.jsp Vertragsunternehmen, einschließlich das in Zahlungstransaktionen involvierte Personal, sollten sich mit den PCI-Datenschutz-Standards vertraut machen und diese im Unternehmen umsetzen. Wenn bereits ein Payment Service Provider verwendet wird, ist mit diesem zu klären, ob dieser bereits nach AIS und SDP bzw. PCI zertifiziert ist. Gegebenenfalls Kontaktaufnahme mit einem von den Kreditkartenorganisationen akkreditierten PCI Prüfungsunternehmen für weitere Details im Zusammenhang mit einem notwendigen Zertifizierungsprozess. Durchführung / Vorbereitung der oben skizzierten Maßnahmen (s. Tabelle) in Abhängigkeit vom Transaktionsvolumen und der Tatsache der Speicherung von Kreditkartendaten. Einleitung von Korrekturmaßnahmen im Zusammenhang mit möglicherweise identifizierten Sicherheitslücken oder Schwachstellen. Wenn die PCI-Datenschutz-Standards erfüllt sind, sicherstellen, dass diese auch weiterhin eingehalten werden. Für Unterstützung und bei weiteren Fragen zur Zertifizierung wenden sich Vertragsunternehmen direkt an die von VISA und MasterCard akkreditierten Prüfungsunternehmen (siehe Anhang). 3

Das Vertragsunternehmen speichert Kreditkartendaten (Abb. 1) Das Vertragsunternehmen verarbeitet und/oder speichert Kreditkartendaten in seinen technischen Systemen (z.b. im Online-Shopsystem, in Kundendatenbanken, etc.) und/oder es werden Kreditkartendaten bei externen Dienstleistern und Partner im Auftrag des Vertragsunternehmens gespeichert. Damit ist das Vertragsunternehmen verpflichtet einen Nachweis über die Einhaltung der Sicherheitsprogramme zu erbringen. (Abb.1) *PSP muss AIS+SDP / PCI zertifiziert und von der First Cash Solution freigegeben sein 4

Das Vertragsunternehmen speichert keine Kreditkartendaten Das Vertragsunternehmen nimmt selbst keine Kreditkartendaten vom Kunden (z.b. über ein Shopsystem bzw. eine Bezahlfunktion im eigenen technischen Umfeld) bzw. über beauftragte Dienstleister oder Partner (z.b. Inkassounternehmen, Hotelbuchungssystemen, etc.) entgegen. Das Vertragsunternehmen speichert und verarbeitet keine Kreditkartendaten. Im Falle der Verarbeitung von E-Commerce Transaktionen übernimmt ein Payment Service Provider (PSP) Abrechnungsinformationen (Auftragsdaten für die Abrechnung, Gesamtbetrag, eventuell Referenznummer, etc.) aus dem Onlineshop des Vertragsunternehmens und betreibt die Bezahlseite (Pay-Page) im Auftrag des Vertragsunternehmens in einem nach AIS und SDP bzw. PCI geprüften technischen Umfeld. Den Nachweis über die sichere Abwicklung und Einhaltung der Sicherheitsprogramme AIS, SDP bzw. PCI erbringt der PSP über ein von den Kreditkartenorganisationen akkreditiertes Prüfungsunternehmen (aktuelle Übersicht der Unternehmen anbei) im jeweils von den Kartenorganisationen festgelegten Turnus. (Abb.2) *PSP muss AIS+SDP / PCI zertifiziert und von der First Cash Solution freigegeben sein Was muss ein Vertragsunternehmen tun, wenn Stand heute Kreditkartendaten gespeichert werden? a) Für die Zahlungsabwicklung des Vertragsunternehmens ist ein nach AIS+SDP bzw. PCI zertifizierter und von der First Cash Solution freigegebener PSP zu nutzen. Es dürfen künftig keine Kreditkartendaten (Kreditkartennummer, Ablaufdatum, CVV2/CVC2 bzw. Kartenprüfziffer) in den Systemen des Händlers bzw. bei beauftragten Dienstleistern oder Partnern (z.b. Inkassounternehmen, Hotelbuchungssystemen, etc.) gespeichert werden. b) Werden auch weiterhin Kreditkartendaten durch das Vertragsunternehmen bzw. durch beauftragte Dienstleister oder Partner (z.b. Inkassounternehmen, Hotelbuchungssystemen, etc.) gespeichert, ist das Vertragsunternehmen verpflichtet der First Cash Solution einen Nachweis über die erfolgreiche Prüfung nach AIS + SDP unter Einbezug von PCI über ein von VISA und MasterCard akkreditiertes Prüfungsunternehmen zu erbringen. 5

Welche Prüfungsunternehmen sind von VISA und MasterCard akkreditiert? Auf den Webseiten von VISA Europe und MasterCard International finden Sie Informationen zu den beiden Sicherheitsprogrammen AIS und SDP, sowie dem zugrunde liegenden PCI Payment Card Industry Data Security Standards. Sie können sich über folgende Links die Unterlagen als pdf-dokumente ansehen. Dokumente VISA Europe zum Payment Card Industry (PCI) Data Security Standard http://www.visaeurope.com/aboutvisa/security/ais/resourcesanddownloads.jsp Dokumente MasterCard International zum Payment Card Industry (PCI) Data Security Standard http://www..mastercard.com/us/sdp/index.html Abrufen weiterer Details (in englischer Sprache) zum Account Information Security Programme unter der URL: http://www.visaeurope.com/aboutvisa/security/ais/resourcesanddownloads.jsp sowie Herunterladen des Leitfadens PCI Data Security Standards Guide. Die nachfolgenden von den Kartenorganisationen akkreditierten deutschsprachigen Prüfungsunternehmen können für ein qualifiziertes Assessment herangezogen werden. Weiterführende Informationen und Dokumentationen über die Durchführung der Maßnahmen finden Sie auf den genannten Internetseiten der jeweiligen Anbieter. Acertigo AG: Wilhelmsplatz 8 70182 Stuttgart Internet: https://www.acertigo.com/ Kontakt Zertifizierung: Ralph Wörn, Tel.: 0711 / 6 20 30-0, email: contact@acertigo.com SRC Security Research & Consulting GmbH: Graurheindorfer Straße 149a D-53117 Bonn Internet: http://www.src-gmbh.de/src Kontakt Zertifizierung: AIS+SDP Hotline: Tel.: 0228 / 2806-166 Weitere Unternehmen entnehmen Sie bitte der von VISA laufend aktualisierten Liste im Internet: http://www.visaeurope.com/aboutvisa/security/ais/resourcesanddownloads.jsp First Cash Solution GmbH - Okenstr. 7-77652 Offenburg Telefon: +49 (0) 7805-91696-0 - Fax: +49 (0) 7805-91696-197 mail@1cs.de - www.firstcashsolution.de 6

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback