Über die Gemeisamkeiten eines Konzertbesuches mit der PCI Zertifizierung ...

Gitarrensound strömt durch die Halle. Alles wippt im Rhythmus des Schlagzeugs. Die rauchige Stimme der Sängerin erzeugt ein wohliges Prickeln. Die Stimmung ist am Explorieren, die Emotionen brodeln hoch, aber dennoch bleibt das Publikum sitzen und beobachtet mit einer gewissen Zurückhaltung das Geschehen. Plötzlich hält es einen Fan nicht mehr auf seinem Platz, er springt auf ? kurz danach steht die ganze erste Reihe ? die hinteren sind in ihrer Sicht auf die Bühne behindert und stehen nun ebenfalls auf. Die Welle bewegt sich nach hinten ? alle stehen, und die Post geht ab.

 

Was hat dies mit dem PCI Standard zu tun?

 

Seit 2007 existiert der Payment Card Industry Data Security Standard, abgekürzt mit PCI, ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.

 Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln, müssen die Regelungen einhalten. Ist dies nicht der Fall, können Strafgebühren verhängt, Einschränkungen ausgesprochen oder letztlich die Akzeptanz von Kreditkarten untersagt werden. 

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und einhalten von Richtlinien in Bezug auf Informationssicherheit.

 

PCI basiert auf dem Visa-Account-Information-Security-Programm (AlS und dessen Schwesterprogramm dSP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

 Der Tag der Abrechnung ist nah

Die Frist zur Umsetzung von PCI DSS für Unternehmen, die mehr als sechs Millionen Transaktionen im Jahr verarbeiten, war der 30. September 2008. Ab 2009 gelten die Vorgaben auch für Tier 2 (Stufe 2) - Retailer mit von 20.000 (zirka 55 täglich) zu 6 Mio. Transaktionen per anno. Diese müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen ausfüllen.

 

Händler oder Dienstleister, die weniger als 20.000 Kreditkartentransaktionen pro Jahr abwickeln, müssen zwar die Regelungen erfüllen, eine Prüfung wird empfohlen, ist jedoch nicht obligatorisch.

 Aber was hat das alles mit einem Konzertbesuch zu tun? 

Der Markt reagiert wie die Besucher des Konzertes sehr verhalten ? nur wenige Unternehmen setzen sich mit diesem Thema und den Anforderungen auseinander. Obwohl diese Zertifizierung für den einen oder anderen marktentscheidend werden.

 Denn jeder Benutzer von Plastik Money, ob groß oder klein, wird von diesen Maßnahmen profitieren. Wir werden alle unser Kaufverhalten anpassen und in Zukunft differenzieren, wer welche Maßnahmen trifft und wie (sicher) man mit unseren sensiblen Daten umgeht.   

 

Beitrag von Christian Busch
Solution Mgmt & Business Development
Telekom Austria TA AG