Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich einer immer größer werdenden Beliebtheit. Der Schutz von Kreditkarteninformationen und Transaktionsdaten ist jedoch Voraussetzung für das Vertrauen der Verbraucher in diese Zahlungsform. Um dieses Vertrauen für alle an einer Kartentransaktion beteiligten Parteien zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei Visa stets eine zentrale Rolle. So wurden nicht erst in jüngster Zeit immer wieder Programme zur Missbrauchsbekämpfung und Betrugsvorbeugung entwickelt. Aber nicht nur Verbraucher profitieren von dem höheren Maß an Sicherheit, auch für den Handel verbinden sich damit positive Auswirkungen. Zufriedenere Kunden generieren höhere Umsätze, Betrugsverluste lassen sich nachhaltig reduzieren und die Zahl der Reklamationen kann gesenkt werden. Welche Funktion hat das Account Information Security Programme? Bereits im Jahr 2000 hat Visa International das Programm Account Information Security (AIS) eingeführt und ein Jahr später auf globaler Ebene implementiert. Zielsetzung von AIS ist die Unterstützung von Händlerbanken, Händlern, Service Seite 1 von 5
Providern und anderen externen Dienstleistern beim sicheren Umgang mit sensiblen Karten- und Transaktionsdaten. Das Programm definiert Sicherheitsanforderungen für die Verarbeitung, Speicherung und Übertragung von vertraulichen Informationen. Damit sollen eventuelle Sicherheitslücken in den eigenen Systemen identifiziert und mögliche Folgeschäden abgewendet werden. Was sind die Payment Card Industry (PCI) Data Security Standards? Um eine einheitliche Vorgehensweise bei der Umsetzung dieser Sicherheitsanforderungen zu ermöglichen, haben sich die Kartenorganisationen Visa und MasterCard zu Beginn dieses Jahres auf gemeinsame Standards geeinigt. Diese tragen die Bezeichnung Payment Card Industry (PCI) Data Security Standards und haben Gültigkeit für die gesamte Kartenzahlungsbranche. Das PCI-Datenschutz-Regelwerk umfasst zwölf Punkte, deren Einhaltung von allen Visa Akzeptanzstellen und Service Providern sicherzustellen ist: 1. Installation und regelmäßige Aktualisierung einer Firewall zum Schutz von Daten 2. Keine Verwendung vorgegebener Werte (seitens Lieferanten / Herstellern) für System-Passwörter oder andere Sicherheitsparameter 3. Absicherung gespeicherter Daten, Karten- und Transaktionsdaten nicht unnötig speichern, wie etwa die vollständige Kartennummer, Daten der Magnetstreifenspuren, Kartenverifizierungscode (CVV2) oder PIN 4. Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken 5. Verwendung und regelmäßige Aktualisierung einer Anti-Viren-Software 6. Entwicklung und Verwendung sicherer Systeme und Anwendungen 7. Beschränkung des Datenzugriffs ausschließlich für geschäftliche Zwecke Seite 2 von 5
8. Zuteilung einer persönlichen ID für jede Person mit Zugang zum Computersystem 9. Zugriffsberechtigungen im Zusammenhang mit sensiblen Karteninhaberdaten einschränken 10. Nachvollziehbarkeit und Überwachung aller Zugriffe auf Netzwerk- Ressourcen und Karteninhaberdaten 11. Regelmäßige Überprüfung von Sicherheitssystemen und Prozessabläufen 12. Unternehmensrichtlinie, die das Thema Informationssicherheit regelt Was bedeuten die PCI-Datenschutz-Standards für Visa Vertragsunternehmen? Händler und Service Provider sind aufgefordert, die PCI Data Security Standards bei der Verarbeitung von Karten- und Transaktionsdaten einzuhalten. Konkret bedeutet dies, dass sie einen Zertifizierungsprozess durchlaufen müssen, der durch ein von Visa und MasterCard autorisiertes Unternehmen ausgeführt wird. Die Programme von Visa (Account Information Security AIS) und MasterCard (Site Data Protection SDP) bleiben weiterhin bestehen. Die PCI-Datenschutz-Standards umfassen jedoch die Prüfungsanforderungen beider Programme, so dass aufgrund der gemeinsamen, einheitlichen Standards, ein Händler oder Service Provider den Zertifizierungsprozess nur einmal absolvieren muss und nicht getrennt für beide Kartensysteme. Über Art und Umfang des Zertifizierungsablaufs entscheiden u.a. die monatliche Anzahl der sowie die Transaktionsart (Standardtransaktion, Seite 3 von 5
E-Commerce oder Telefon/Versandhandel (Mail/Phone Order)). Nachfolgende Tabelle stellt die Anforderungen nach Anzahl und Art der dar: Anzahl der pro Jahr Standardtransaktionen / Mail/Phone Order-, E-Commerce- Maßnahmen Jährliche Vor- Ort Prüfung Vierteljährlicher Sicherheitscheck Selbstauskunft in Form eines Fragebogens Mehr als 6 Mio. Alle Obligatorisch Obligatorisch Weniger als 6 Mio. Standardtransaktionen / Mail/Phone Order Empfohlen Empfohlen Zwischen 20.000 und 6 Mio. E-Commerce Obligatorisch Obligatorisch Weniger als 20.000 E-Commerce Empfohlen Empfohlen Was können Händler tun, um mit dem Zertifizierungsprozess zu beginnen und sicherzustellen, dass sie die PCI-Datenschutz-Standards erfüllen? Es wird folgende Vorgehensweise vorgeschlagen: Abrufen weiterer Details (in englischer Sprache) zum Account Information Security Programme unter dem Link www.visaeurope.com/acceptingvisa/ais.html sowie Herunterladen des Leitfadens PCI Data Security Standards Guide. Vertragsunternehmen, einschließlich das in Zahlungstransaktionen involvierte Personal, sollten sich mit den PCI-Datenschutz-Standards vertraut machen und diese im Unternehmen umsetzen. Kontaktaufnahme mit der Händlerbank, um weitere Details im Zusammenhang mit dem Zertifizierungsprozess zu besprechen. Seite 4 von 5
Durchführung / Vorbereitung der oben skizzierten Maßnahmen (s. Tabelle) - in Abhängigkeit vom Transaktionsvolumen. Einleitung von Korrekturmaßnahmen im Zusammenhang mit möglicherweise identifizierten Sicherheitslücken oder Schwachstellen. Wenn die PCI-Datenschutz-Standards erfüllt sind, sicherstellen, dass diese auch weiterhin eingehalten werden. Unterstützung bei weiteren Fragen zu dieser Thematik sowie zur Zertifizierung erhalten Visa Vertragsunternehmen direkt von ihrer jeweiligen Visa Händlerbank mit der sie einen Vertrag zur Akzeptanz von Visa Karten abgeschlossen haben. Stand: Juni 2005 Seite 5 von 5