Account Information Security Programme

Allgemeine Informationen

Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten

Kreditkartenzahlungen erfreuen sich einer immer grösser werdenden Beliebtheit. Der Schutz von Kreditkarteninformationen und Transaktionsdaten ist jedoch Voraussetzung für das Vertrauen der Verbraucher in diese Zahlungsform. Um dieses Vertrauen - für alle an einer Kartentransaktion beteiligten Parteien - zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei Visa stets eine zentrale Rolle. So wurden nicht erst in jüngster Zeit immer wieder Programme zur Missbrauchsbekämpfung und Betrugsvorbeugung entwickelt.

PDF-Download

Sie können diese Informationen auch als PDF-Datei downloaden und offline lesen AISProgramme.pdf (747kB)
Aber nicht nur Verbraucher profitieren von dem höheren Mass an Sicherheit, auch für den Handel verbinden sich damit positive Auswirkungen. Zufriedenere Kunden generieren höhere Umsätze, Betrugsverluste lassen sich nachhaltig reduzieren und die Zahl der Reklamationen kann gesenkt werden.

Welche Funktion hat das “Account Information Security Programme”?

Bereits im Jahr 2000 hat Visa Inc. das Programm „Account Information Security (AIS)“ eingeführt und ein Jahr später auf globaler Ebene implementiert. Zielsetzung von AIS ist die Unterstützung von Händlerbanken, Händlern, Service Providern und anderen externen Dienstleistern beim sicheren Umgang mit sensiblen Karten- und Transaktionsdaten. Das Programm definiert Sicherheitsanforderungen für die Verarbeitung, Speicherung und Übertragung von vertraulichen Informationen. Damit sollen eventuelle Sicherheitslücken in den eigenen Systemen identifiziert und mögliche Folgeschäden abgewendet werden.

Was sind die “Payment Card Industry (PCI) Data Security Standards”?

Um eine einheitliche Vorgehensweise bei der Umsetzung dieser Sicherheitsanforderungen zu ermöglichen, haben sich die Kartenorganisationen Visa und MasterCard zu Beginn dieses Jahres auf gemeinsame Standards geeinigt. Diese tragen die Bezeichnung „Payment Card Industry (PCI) Data Security Standards“ und haben Gültigkeit für die gesamte Kartenzahlungsbranche.

Das PCI-Datenschutz-Regelwerk umfasst zwölf Punkte, deren Einhaltung von allen Visa Akzeptanzstellen und Service Providern sicherzustellen ist:

• Installation und regelmässige Aktualisierung einer Firewall zum Schutz von Daten
• Keine Verwendung vorgegebener Werte (seitens Lieferanten / Herstellern) für System-Passwörter oder andere Sicherheitsparameter
• Absicherung gespeicherter Daten, Karten- und Transaktionsdaten nicht unnötig speichern, wie etwa die vollständige Kartennummer, Daten der Magnetstreifenspuren, Kartenverifizierungscode (CVV2) oder PIN
• Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken
• Verwendung und regelmäßige Aktualisierung einer Anti-Viren-Software
• Entwicklung und Verwendung sicherer Systeme und Anwendungen
• Beschränkung des Datenzugriffs – ausschliesslich für geschäftliche Zwecke
• Zuteilung einer persönlichen ID für jede Person mit Zugang zum Computersystem
• Zugriffsberechtigungen im Zusammenhang mit sensiblen Karteninhaberdaten einschränken
• Nachvollziehbarkeit und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Karteninhaberdaten
• Regelmässige Überprüfung von Sicherheitssystemen und Prozessabläufen
• Unternehmensrichtlinie, die das Thema Informationssicherheit regelt

Was bedeuten die PCI-Datenschutz-Standards für Visa Vertragsunternehmen?

Händler und Service Provider sind aufgefordert, die „PCI Data Security Standards“ bei der Verarbeitung von Karten- und Transaktionsdaten einzuhalten. Konkret bedeutet dies, dass sie einen Zertifizierungsprozess durchlaufen müssen, der durch ein von Visa und MasterCard autorisiertes Unternehmen ausgeführt wird.

Die Programme von Visa (Account Information Security – AIS) und MasterCard (Site Data Protection – SDP) bleiben weiterhin bestehen. Die PCI-Datenschutz-Standards umfassen jedoch die Prüfungsanforderungen beider Programme, so dass aufgrund der gemeinsamen, einheitlichen Standards, ein Händler oder Service Provider den Zertifizierungsprozess nur einmal absolvieren muss und nicht getrennt für beide Kartensysteme.

Über Art und Umfang des Zertifizierungsablaufs entscheiden u.a. die monatliche Anzahl der Transaktionen sowie die Transaktionsart (Standardtransaktion, E-Commerce oder Telefon/Versandhandel (Mail/Phone Order)).

Nachfolgende Tabelle stellt die Anforderungen nach Anzahl und Art der Transaktionen dar:

Was können Händler tun, um mit dem Zertifizierungsprozess zu beginnen und sicherzustellen, dass sie die PCI-Datenschutz-Standards erfüllen?

Es wird folgende Vorgehensweise vorgeschlagen:

• Abrufen weiterer Details (in englischer Sprache) zum „Account Information Security Programme“ unter dem Link www.visaeurope.com/acceptingvisa/ais.jsp sowie Herunterladen des Leitfadens „PCI Data Security Standards Guide“.
• Vertragsunternehmen, einschließlich das in Zahlungstransaktionen involvierte Personal, sollten sich mit den PCI-Datenschutz-Standards vertraut machen und diese im Unternehmen umsetzen.
• Kontaktaufnahme mit der Händlerbank, um weitere Details im Zusammenhang mit dem Zertifizierungsprozess zu besprechen.
• Durchführung / Vorbereitung der oben skizzierten Massnahmen (s. Tabelle) - in Abhängigkeit vom Transaktionsvolumen.
• Einleitung von Korrekturmassnahmen im Zusammenhang mit möglicherweise identifizierten Sicherheitslücken oder Schwachstellen.
• Wenn die PCI-Datenschutz-Standards erfüllt sind, sicherstellen, dass diese auch weiterhin eingehalten werden.

Unterstützung bei weiteren Fragen zu dieser Thematik sowie zur Zertifizierung erhalten Visa Vertragsunternehmen direkt von ihrer jeweiligen Visa Händlerbank – mit der sie einen Vertrag zur Akzeptanz von Visa Karten abgeschlossen haben.