Rubrik: Markt/Hintergrund

PCI-Standard ist eine hohe Sicherheitshürden für Webshops

Visonys erstes deutschsprachige Mitglied der Payment Card Industry Security Vendor Alliance

(09.10.07) - Webshop-Besitzer und alle Unternehmen, die mit Kreditkarten-Transaktionen arbeiten, müssen sich seit dem 30. September zwingend an die Datensicherheitsrichtlinien der Kredit-kartenindustrie halten. Da trat der so genannte Payment Card Industry Data Security Standard (PCI DSS) verbindlich in Kraft. Wer die zwölf Sicherheitsanforderungen an die Rechnernetze nicht einhält, dem drohen Geldbußen, rechtliche Konsequenzen und Imageverlust. Je nach Umsatz-volumen werden Strafen verhängt, Einschränkungen ausgesprochen oder sogar die Annahme von Kreditkarten untersagt. Große eShop-Händler und Dienstleister, die mehr als sechs Millionen Kreditkartentransaktionen pro Jahr abwickeln, müssen die Sicherheit ihrer Netwerke alle drei Monate extern prüfen lassen. Visonys ist das erste deutschsprachige Goldmitglied der Payment Card Industry Security Vendor Alliance (PCI SVA). Dieser weltweite Zusammenschluss von derzeit 28 Anbietern der IT-Sicherheitsbranche hat sich die verbesserte Sicherheit und Vertraulichkeit von Kreditkartendaten zum Ziel gesetzt. Die PCI-SVA-Mitglieder unterstützen den Datensicherheits-standard der Kreditkartenindustrie.

Anzeige

 

Literatur zum Thema "Webshops"

Literatur zum Thema "PCI-Standard"

 

Das Qualitätssiegel des eCommerce wurde von den größten Kreditkartenanbietern, darunter Visa International und MasterCard Worldwide, ins Leben gerufen, um einen global gültigen Standard zur Erhöhung der Datensicherheit zu schaffen. "Der Sicherheitsstandard der Kreditkartenindustrie ist für alle Unternehmen, die im Zahlungsverkehr mit Kreditkarten arbeiten, verbindlich. Durch den Zusammenschluss der Sicherheitsanbieter erfahren alle Unternehmen, die PCI-konform sein müssen, welche Lösungen ihnen beim Einhalten der Sicherheitsvorgaben helfen", erklärt Cyrill Osterwalder, CEO bei Visonys.

Umsatz- und Käuferzahlen wachsen im Internet kontinuierlich. Nach Angaben des Bundesver-bandes der Digitalen Wirtschaft (BVDW) gab es 2006 in Deutschland über 27 Millionen Online-Shopper. 2001 waren es noch weniger als 13 Millionen. Das Risiko, Opfer von Internet-Kriminellen zu werden, wird demnach immer größer. Der Regelkatalog der Kreditkartenindustrie will die Fälle von Datenmissbrauch, die bei der Verwaltung von Kundendaten auftreten können, minimieren und gleichzeitig das Vertrauen der Kunden in die Online-Angebote vergrößern. Das PCI DSS-Regelwerk lässt sich in drei Hauptgruppen einteilen: Zunächst müssen Unternehmen alle Protokolldaten erfassen und speichern, um sich so auf die Sicherheitsanalyse vorzubereiten. Des Weiteren sollen sie alle Aktivitäten protokollieren, um so die PCI DSS-Compliance nachweisen zu können. Drittens müssen Administratoren stets über Datenzugriff und ihre Verwendung informiert sein. Dies setzt die Überwachung und Ausgabe von Warnungen voraus.

"Der Datensicherheitsstandard der Kreditkartenindustrie ist der weltweit umfassendste und verständlichste Richtlinienkatalog für die Sicherheit und Vertraulichkeit von Webanwendungen. Mit unserer Mitgliedschaft wollen wir die immer größer werdende Bedeutung sicherer Onlinedienste untermauern und unterstützen", meint Osterwalder. "Durch das Internet sind weltweiter Handel und globale Geschäfte zum Alltag geworden. Für ihre IT-Lösungen und den dazugehörigen Support wünschen sich viele Unternehmen aber einen Anbieter in ihrer Nähe."

Der Payment Card Industry Data Security Standard (PCI DSS)

1. Installation und Pflege einer Firewall zur Absicherung aller Daten

2. Kennwörter und andere Sicherheitseinstellungen müssen nach der Werksauslieferung geändert werden

3. Sicherung der gespeicherten Daten von Kreditkarteninhabern

4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen

5. Einsatz und regelmäßiges Update von Virenschutzprogrammen

6. Entwicklung und Pflege sicherer Systeme und Anwendungen

7. Einschränken von Datenzugriffen auf das Notwendige

8. Zuteilen einer einmaligen Benutzerkennung für jede Person mit Rechnerzugang

9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern

10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern

11. Kontinuierliche Prüfungen aller Sicherheitssysteme und -prozesse

12. Einführung unternehmensweit einheitlicher Sicherheitsrichtlinien

(Visonys: ma)

 
 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken