Sicherheits- und Compliance-Vorgaben schützen ab sofort Kreditkartendaten

PCI Data Security Standard regelt Datensicherheit bei Online-Transaktionen

01.10.2007 | Redakteur: Stephan Augsten

PCI-Compliance betrifft alle Unternehmen, die Kreditkarten-Daten verwalten und nutzen.
PCI-Compliance betrifft alle Unternehmen, die Kreditkarten-Daten verwalten und nutzen.

Ob Bank, Webshop oder Ticket-Service: Arbeiten Unternehmen im Zahlungsverkehr mit Kreditkarten, dann sind sie zum Schutz sensibler Daten ab sofort an den Payment Card Industry Data Security Standard gebunden. Sollten die darin enthaltenen Security-Anforderungen nicht eingehalten werden, drohen neben dem Imageverlust rechtliche und finanzielle Konsequenzen.

Allen Sicherheitsbedenken und anfänglichen Hemmschwellen zum Trotz wird das Online-Shopping nach einer zwischenzeiltlichen Flaute immer beliebter: Laut dem Bundesverband der digitalen Wirtschaft gab es 2006 über 27 Millionen deutsche Online-Shopper.

Auch eine aktuelle Marktanalyse für Europa verspricht rosige Zeiten für Internet-Verkäufer: Forrester Research schätzt, dass sich das Marktvolumen in den kommenden fünf Jahren von 7,5 auf über 16 Millionen mehr als verdoppelt. Doch an diesem profitablen Geschäft wollen natürlich auch Online-Kriminelle ihren Vorteil ziehen.

Deshalb soll künftig der Payment Card Industry Data Security Standard (PCI DSS) Fälle von Datenmissbrauch minimieren. Das Regelwerk beruht auf Vorgaben großer Kreditkartenorganisationen wie VISA, MasterCard und American Express sowie weiteren Compliance- und Sicherheitsregeln. Folgende zwölf Richtlinien sollen künftig dafür sorgen, dass die Unternehmen ihre Daten sicher halten und die Security-relevanten Systeme und Prozesse pflegen und kontinuierlich prüfen:

1. Installation und Pflege einer Firewall zur Absicherung aller Daten

2. Kennwörter und andere Sicherheitseinstellungen müssen nach der Werksauslieferung geändert werden

3. Sicherung der gespeicherten Daten von Kreditkarteninhabern

4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen

5. Einsatz und regelmäßiges Update von Virenschutzprogrammen

6. Entwicklung und Pflege sicherer Systeme und Anwendungen

7. Einschränken von Datenzugriffen auf das Notwendige

8. Zuteilen einer einmaligen Benutzerkennung für jede Person mit Rechnerzugang

9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern

10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern

11. Kontinuierliche Prüfungen aller Sicherheitssysteme und –prozesse

12. Einführung unternehmensweit einheitlicher Sicherheitsrichtlinien

Lieber in Sicherheit investieren als Strafen kassieren

Cyrill Osterwalder, CEO der Visonys AG, ist vom Nutzen des Standards überzeugt. Der Datensicherheitsstandard der Kreditkartenindustrie sei das umfassendste Security-Richtlinienwerk für sichere und vertrauliche Webanwendungen – und bleibe dabei dennoch verständlich.

Wer die Regeln nicht einhält, dem drohen neben schlechter Publicity auch wirtschaftliche und gesetzliche Strafen. Je nach dem Umsatzvolumen des Unternehmens können Strafen und Einschränkungen verhängt, oder sogar die Annahme von Kreditkarten untersagt werden.

Deshalb unterstützt die PCI Security Venor Alliance (SVA) die Unternehmen mit ihren Produkten bei der Umsetzung der zwölf PCI-DSS-Richtlinien. Außerdem bieten die Mitglieder der SVA weiterführende Informationen, Workshops und Studien an, um die Auflagen der Kreditkartenindustrie auch wirklich zu erfüllen.

Auch Visoniys gesellt sich als erstes deutschsprachiges Unternehmen zu den aktuell 28 beteiligten Firmen. Der Hersteller will mit seiner Web Application Firewall visonysAirlock Internet-Anwendungen vor Angriffen schützen und somit deren Verfügbarkeit erhöhen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2008040 / Netzwerk-Security-Devices)