Der Datenschutz bei der Zahlungsabwicklung, insbesondere bei der Nutzung von Online-Zahlungsmethoden, ist in den letzten Jahren mit der rasanten Verbreitung des elektronischen Zahlungsverkehrs zu einem akuten Thema geworden. Um Betrug im Zusammenhang mit Kartendatendiebstahl zu verhindern, haben sich die größten Kartennetzwerke zusammengeschlossen, das PCI Council gegründet und den Payment Card Industry Data Security Standard (PCI DSS) entwickelt – eine Reihe von Sicherheitsmaßnahmen, die den vollständigen Schutz von Kartendaten und anderem bieten sensible Daten bei Finanztransaktionen. Seitdem sollte jede Organisation, die sich irgendwie mit der Annahme, Verarbeitung, Übertragung und Speicherung von Zahlungsdaten von Karteninhabern befasst, die PCI-DSS-Anforderungen erfüllen. Zu den Institutionen, die verpflichtet sind, die Einhaltung zu validieren, gehören Banken, Zahlungsanwendungen, Händler, Zahlungsdienstleister, Zahlungsabwickler und andere Organisationen, die an der elektronischen Zahlungsabwicklung beteiligt sind.
Entwicklung und Verbesserung einer sicheren Netzwerkinfrastruktur
Schutz von Karteninhaberdaten durch Verschlüsselung und andere Sicherheitsmethoden
Überwachung des Aktualisierungsprozesses von Systemkomponenten und Antivirensoftware
Steuerung und Differenzierung des Zugriffs auf Informationsressourcen
Regelmäßige Prüfung und Überwachung der Systemsicherheit
Informationssicherheitsrichtlinie
Wie wir sehen, decken die PCI-DSS-Anforderungen die Sicherheit der Informationsinfrastruktur auf allen Ebenen ab. Wenn ein Unternehmen mit der Verarbeitung, Übermittlung oder Speicherung von Kundenkartendaten zu tun hat, muss die Informationssicherheit sowohl durch interne Spezialisten als auch durch Partnerorganisationen ständig aufrechterhalten werden. Die Kombination aus Prozessen, Personen und Technologien, die Sie zur Unterstützung Ihrer Compliance einsetzen, wird als PCI-Umfang bezeichnet. Der genaue Scoping hilft Ihnen, die erforderliche Abdeckung für Ihre PCI-DSS-Bewertung zu bestimmen.
Es ist nicht ungewöhnlich, dass bequeme Ein-Klick-Online-Zahlungen auf E-Commerce-Websites für Karteninhaber nach hinten losgehen. Mit dem explosionsartigen Wachstum des Online-Shoppings ist ein erheblicher Anstieg von Kartendatenlecks und Betrug zu verzeichnen. Da ein Zahlungs-Gateway für die Verarbeitung von Online-Zahlungen unverzichtbar ist, kann die Integration eines Gateways ohne PCI-DSS-Konformität viele Risiken bergen, die mit möglichen Verletzungen sensibler Daten ihrer Kunden an Dritte und der Verwendung dieser Daten für betrügerische Zwecke verbunden sind. Aus diesem Grund sollte die Einhaltung dieser Sicherheitsstandards Ihre oberste Priorität sein. Das Ignorieren auch nur einer PCI-DSS-Anforderung gefährdet Ihre Sicherheit und Ihren Ruf.
Ein PCI-DSS-Standard ist universell auf Zahlungsdienstleister, Internet-Acquiring-Unternehmen und Zahlungssysteme anwendbar. Dasselbe gilt für Zahlungs-Gateways, die direkt für den Schutz der Transaktionsdetails ab dem Zeitpunkt ihrer Eingabe auf der Zahlungsseite bis zum Ende der Verarbeitung verantwortlich sind. Daher wird jeder Händler, der Wert auf seinen guten Ruf legt, die maximale Sicherheit der vertraulichen Kartendaten seiner Kunden gewährleisten und einen Zahlungs-Gateway-Anbieter wählen, der die Einhaltung von PCI DSS validiert hat.
Der PCI-Standard stellt ziemlich strenge Anforderungen an die Sicherheit von Unternehmen, in denen Zahlungsinformationen übermittelt, verarbeitet oder gespeichert werden. Darüber hinaus wird, selbst wenn eine Organisation die Zertifizierung bereits bestanden hat, dennoch eine jährliche Konformitätsprüfung durchgeführt. Solche Audits helfen festzustellen, ob das Unternehmen die Sicherheitsanforderungen in gutem Glauben erfüllt oder die PCI-DSS-Zertifizierung nur zum Schein erhalten hat. Bei Verstößen muss das Unternehmen eine erhebliche Geldbuße zahlen.
Stufe 1: mehr als 6 Millionen Transaktionen jährlich
Stufe 2: von 1 Million bis 6 Millionen Transaktionen pro Jahr
Stufe 3: von 20.000 bis 1 Million Transaktionen pro Jahr
Stufe 4: bis zu 20.000 Transaktionen pro Jahr
Es ist bemerkenswert, dass nur ein unabhängiger Auditor – Qualified Security Assessors (QSA) – die PCI-DSS-Level-1-Compliance-Validierung durchführt. Das Zertifizierungsverfahren für dieses PCI-DSS-Compliance-Level umfasst eine umfassende Prüfung der Informationsinfrastruktur des Unternehmens, die Entwicklung von Empfehlungen und regulatorischen Dokumenten, die zur Einhaltung des Standards erforderlich sind, sowie die beratende Unterstützung während der Implementierung. Um die Einhaltung anderer PCI-Stufen zu bestätigen, muss ein Unternehmen das SBF-Selbstbewertungsblatt ausfüllen oder ein internes ISA-Audit durchführen.
Das PCI Security Standards Council verpflichtet alle Banken, Händler, Zahlungssysteme, Zahlungsabwickler und andere an der Verarbeitung beteiligte Institutionen, die PCI-DSS-Anforderungen zu erfüllen. Ohne sie kann die Organisation nicht als zuverlässig angesehen werden, und Sie können ihr Ihre persönlichen Daten nicht anvertrauen. Ein Zahlungs-Gateway kann mit einem normalen POS-Terminal in einem stationären Geschäft verglichen werden. Seine Hauptaufgabe besteht darin, die vollständige Zahlungssicherheit mit Verschlüsselung, Tokenisierung und anderen Sicherheitsmaßnahmen zu gewährleisten. Um alle Daten verschlüsselt und sicher zu halten, setzen E-Commerce-Unternehmen bei der Transaktionsverarbeitung PCI-DSS-konforme Gateways ein. Daher ist die Integration eines PCI DSS-konformen Zahlungsgateways ein Muss für Händler, die qualitativ hochwertige Dienstleistungen anbieten und ihre Kunden vor Zahlungsbetrug schützen wollen.
Sicherheit sollte sowohl für Karteninhaber als auch für Händler oberste Priorität haben, wenn es um die Übertragung oder Speicherung sensibler Debit- oder Kreditkartendaten geht. Corefy erfüllt die strengsten Anforderungen der höchsten PCI-DSS-Stufe. Unser Team überwacht jede Transaktion genau, um Unternehmen und ihre Kunden vor möglichem Identitätsdiebstahl und Kreditkartenbetrug zu schützen. Indem Sie die Verarbeitung Ihrer Transaktionen Corefy anvertrauen, entfällt die Notwendigkeit, die PCI-DSS-Konformität zu verfolgen, da Ihnen bereits ein vollständig geschütztes Zahlungsverarbeitungssystem zur Verfügung steht. Schaffen Sie das beste Kundenerlebnis, indem Sie den höchsten Datenschutz für die Daten Ihrer Verbraucher gewährleisten.