Download - Travel ONE
Download - Travel ONE
Download - Travel ONE
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
titelthema.datensicherheit<br />
Der PCI DSS kompakt<br />
Der Payment Card Industry Data Security Standard (PCI DSS) ist der Standard, den die<br />
Kreditkartenunternehmen für alle an diesem Prozess beteiligten Unternehmen entwickelt<br />
haben. In der Touristik sind alle CRS und Ypsilon.net mit ihren Rechenzentren und allen<br />
Anwendungen anhand eines Onsite-Audits zertifiziert.<br />
Tipps für Reisebüros:<br />
Die internen Prozesse sollten überprüft werden, sodass die Daten nicht dort<br />
gespeichert werden, wo sie nicht von den in das System integrierten Mechanismen<br />
geschützt werden.<br />
Reisebüros sollten eine Auswahl der für den Zugriff auf die Kreditkartendaten<br />
berechtigten Mitarbeiter vornehmen.<br />
Es sollen interne Standards für den sicheren Umgang mit Kreditkartendaten<br />
entwickelt werden, inner- und außerhalb der Rechensysteme.<br />
Die Reisebüros sind für die internen Prozesse und Sicherheitsvorkehrungen verantwortlich,<br />
um die PCI DSS-Standards zu erfüllen. (Quelle: Sabre)<br />
Dazu gibt es weitere Zertifikate für die zertifizierte Software (Payment Applications)<br />
und die zertifizierten Kreditkartenterminals (POS).<br />
(PAN) – das ist die Zahlungskartennummer<br />
–, mit der<br />
der Kartenaussteller und das<br />
Karteninhaberkonto identifiziert<br />
werden können, sowie<br />
die Daten, die mit der PAN<br />
gespeichert werden. Dies<br />
sind der Name des Karteninhabers,<br />
der Servicecode und<br />
das Ablaufdatum der Karte.<br />
Authentisierungsdaten wie<br />
die Daten der Magnetstreifen,<br />
die PINs und die Kartenprüfwerte<br />
(Card Validation Code<br />
Version 2, kurz CVC2) dürfen<br />
nach der Authentisierung<br />
nicht in den Händlersystemen<br />
gespeichert werden. Die<br />
insgesamt 283 Richtlinien<br />
des PCI DSS umfassen Server,<br />
Anwendungen oder Komponenten<br />
eines Netzwerks wie<br />
beispielsweise Firewall oder<br />
Router. Aufgelistet werden<br />
dabei insgesamt zwölf übergeordnete<br />
Anforderungen in<br />
sechs Bereichen.<br />
Händler oder<br />
Dienstleister.<br />
Der PCI DSS unterscheidet<br />
zwischen Dienstleistern<br />
und Händlern. Unter Händler<br />
fallen in der Touristik<br />
beispielsweise Airlines, zu<br />
den Dienstleistern gehören<br />
» Acht Prozent der Deutschen sehen die<br />
Kreditkarte als sicherstes Bezahlverfahren.«<br />
Rechenzentren wie die CRS<br />
oder andere Technikanbieter.<br />
Bei den Händlern gibt<br />
es eine weitere Abstufung<br />
in die Level eins bis vier. Bei<br />
den Dienstleistern sind es<br />
zwei Level, die Einteilung<br />
erfolgt nach der Zahl der<br />
Kreditkartentransaktionen.<br />
»Die Händler der Level drei<br />
und vier müssen einmal<br />
jährlich einen Fragebogen<br />
ausfüllen sowie gegebenenfalls<br />
vierteljährliche PCI DSS<br />
Security Scans der externen<br />
IT-Systeme von einem Approved<br />
Scanning Vendor<br />
durchführen lassen, um das<br />
Zertifikat zu erhalten«, erklärt<br />
Andreas Duchmann,<br />
ein Mitarbeiter der USD AG –<br />
eines der Unternehmen, die<br />
als akkreditierter Auditor<br />
die Überpüfung der Unternehmen<br />
durchführen. Das<br />
Gleiche gelte auch für die<br />
Dienstleister der Stufe zwei.<br />
Für Händler des Levels<br />
eins und zwei sowie Dienstleister<br />
des Levels eins ist ein<br />
Onsite-Audit erforderlich. Das<br />
heißt, es erfolgt eine Vor-Ort-<br />
Überprüfung. Sie umfasse die<br />
Überprüfung der technischen<br />
Sicherheit von Server-, Netzwerk-<br />
und Firewall-Systemen<br />
und Applikationen sowie die<br />
Prüfung relevanter Dokumente<br />
und Sicherheitsprozesse<br />
durch einen Qualified<br />
Security Assessor, so Duchmann<br />
weiter.<br />
12 <br />
31.5.2013 travel.one