Payment Card Industry Data Security Standard


Der Missbrauch von gestohlenen Kreditkarten-Daten ist leider eine ständige Begleiterscheinung, der doch bequemen, einfachen und sicheren Bezahlung von Einkäufen aller Art im Internet. Aus diesem Grund gehören die Verunsicherung von Kunden und finanzielle Verluste von Händlern zur Tagesordnung. Durch diesen Missstand kommt es immer wieder zu massiven Imageschäden bei den Kreditkarten akzeptierenden Unternehmen. So sind durch die kriminellen Machenschaften hohe Kosten zu Lasten von vielen Kartenorganisationen und Online-Händlern entstanden und auch das permanente Vorurteil der Endkunden, Kreditkartenzahlungen im Internet seien nicht sicher, hält sich leider noch immer hartnäckig. Aus diesem Gründen haben sich die fünf wichtigsten Kreditkartenorganisationen (VISA, MasterCard, American Express, JBC und Discover Financial Serices) auf einen gemeinsamen „Payment Card Industry Data Security Standard – kurz PCI DSS verständigt, um die Daten-Sicherheit bei Kreditkartenzahlungen zu gewährleisten.

Der PCI DSS Standard ist laut der Regularien der Kreditkarten-Organisationen von allen angeschlossenen Unternehmen, die Daten verarbeiten und / oder speichern, zwingend einzuhalten. Hiermit wird sichergestellt, dass der Umgang mit Kartendaten sorgfältig und in einer permanent geschützten Umgebung stattfindet. Das Sicherheitssystem fordert von der gesamten  Kartenzahlungs-Branche organisatorische und technische Sicherheitsvorkehrungen bzw. eine obligatorische Zertifizierung. Die teilweise extrem aufwendigen und kostenintensiven Vorkehrungen dienen dem Schutz der Datensicherheit und werden je nach Level der Zertifizierung in regelmässigen Abständen, teils durch Vor-Ort-Audits, kontrolliert. Jeder Händler, der Kartendaten speichert, verarbeitet oder auch nur übermittelt, ist dazu verpflichtet, die umfangreichen Vorgaben einzuhalten. Dabei werden nicht zertifizierte Unternehmen bei einem etwaigen Daten-Diebstahl vollumfänglich für den daraus entstandenen Schaden in die Haftung genommen. Der Level der Zertifizierung wird nach der Grösse des jährlichen Transaktionsvolumens in vier verschiedenen Kategorien festgelegt. Für Payment Service Provider (PSP) wie z.B. SWISSgate gelten die strengsten Anforderungen des Level 1.

PCI DSS Compliance

Die SWISSgate Technologies AG erfüllt sämtliche Anforderungen der PCI DSS nach Vorgaben des PCI Councils und ist dadurch berechtigt jeglich Art von Kreditkartenabwicklungen durchzuführen.

PCI DSS Zertifikat SWISSgate Technologies AG

Datenspeicherung

Bei der Datenspeicherung legt der PCI DSS Standard fest, welche Karteninhaberdaten gespeichert werden dürfen und wie sie zu schützen sind. So sind zum Beispiel die Speicherung der gekürzten Kartennummer, der Name des Karteninhabers und das Ablaufdatum unter gewisser Voraussetzung erlaubt. Vollständige
Kreditkartennummern dürfen nur unter strengen Auflagen gespeichert werden. Es gilt jedoch immer, dass nur geprüfte und authorisierte Mitarbeiter eines Unternehmens Zugriff auf die Daten nehmen dürfen. Die streng vertraulichen Identifizierungsdaten, wie unter anderem die Kartenprüfnummer dürfen niemals gespeichert werden. So gilt des Weiteren auch, dass alle in Schriftform vorliegenden Daten von Kreditkarten unwiederbringlich vernichtet werden müssen. Vertragsunternehmen, welche die Vorgaben vorsätzlich oder auch nur fahrlässig nicht einhalten, werden im Missbrauchsfall mit empfindlichen monetären Strafen belegt und verlieren in der Regel auch unwiderruflich jede Vertragsbeziehung zu den Kreditkartenorganisationen oder deren Erfüllungsgehilfen.

Level-Einstufung

Händler und auch Payment Service Provider werden je nach Umfang ihres jährlichen Kartentransaktions-Volumens in vier verschiedene, anspruchsvolle Kategorien eingestuft. Je nach Level müssen sich die Vertragsunternehmen, regelmässigen unterschiedlichen internen und externen Prüfungsmassnahmen unterziehen, um in der Folge dann die PCI DSS Zertifizierung zu erhalten bzw. aufrecht erhalten zu können.

Nachstehend können Sie die verschiedenen Anforderungen bzw. Level Voraussetzungen ersehen:

Betroffene Business Grössen

Compliance Anforderungen

LEVEL 1

Mehr als sechs Millionen Transaktionen pro Jahr über alle Kanäle, e-Commerce eingeschlossen

Jährliche Vor-Ort PCI Sicherheits-Audits und vierteljährliche Netzwerk-Scans

LEVEL 2

Eine Million bis 5.999.999 Transaktionen pro Jahr

Jährliche Sicherheits-Selbst-Auskunft und vierteljährliche Netzwerk-Scans

LEVEL 3

20.000 bis eine Million Transaktionen pro Jahr

Jährliche Sicherheits-Selbst-Auskunft und vierteljährliche Netzwerk-Scans

LEVEL 4

Weniger als 20.000 e-Commerce Transaktionen pro Jahr und alle Händler mit bis zu einer Million Transaktionen über alle Kanäle

Jährliche Sicherheits-Selbst-Auskunft und vierteljährliche Netzwerk-Scans

Vorteile der PCI DSS Zertifizierung

  • Höchste Datensicherheit für den Schutz Ihrer Kunden
  • Gesteigertes Kundenvertrauen und Imagepflege für Ihr Unternehmen
  • Stetige Steigerung der Kreditkartenumsätze
  • Stärkere Absicherung vor finanziellen Verlusten
  • Reduzierung oder gänzliche Entlastung von Strafgebühren der Kreditkartenorganisationen

Weitere Informationen zum Thema PCI DSS erhalten Sie auch unter dem nachstehenden Verlinkungen:

Sind Sie an unseren Produkten und Dienstleistungen interessiert oder wünschen mehr Informationen? Dann kontaktieren Sie uns einfach, wir helfen Ihnen gerne jederzeit weiter. Zusammen werden wir die ideale Lösung für Ihre Anforderungen finden und umsetzen.

SWISSgate Technologies AG
Lintheschergasse 10
CH-8001 Zürich | Schweiz

 +41 43 500 05 80

 +41 43 500 17 26

 Kontaktformular