Vielen Dank für Ihre Kontaktanfrage. Wir werden uns bei Ihnen schnellstmöglich zurückmelden.

PCI DSS Zertifizierung

Novalnet AG ist PCI DSS Level 1 zertifiziert

PCI DSSDie Novalnet AG hat sich der Prüfung nach den Vorschriften der PCI DSS Organisation (Payment Card Industry Data Security Standard) unterzogen und alle bisherigen Überprüfungen erfolgreich bestanden. Durch die PCI DSS Zertifizierung bietet die Novalnet AG den höchstmöglichen Schutz und die höchstmögliche Sicherheit für Online-Händler.

ANGEBOT ANFORDERN

Die PCI DSS Zertifizierung

Bereits seit 2006 existiert das PCI SSC (Payment Card Industry Security Standards Council), welches sich zum Ziel gesetzt hat, die PCI-Sicherheitsstandards weiterzuentwickeln, darüber aufzuklären und zu verwalten. Gegründet wurde das SSC von den Kreditkartenunternehmen Visa Inc., MasterCard Worldwide, American Express, Discover Financial Services und JCB International. Die PCI DSS Standards gingen letztendlich aus den Sicherheitsstandards von MasterCard und VISA Inc. hervor. Dieser Sicherheitsstandard wird mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich angesehen. Der Standard definiert die Anforderungen für die Bereiche der Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten. Das Ziel ist, einen sorgfältigen und geschützten Umgang mit diesen Daten sicherzustellen. Im Detail heißt das:

  • Einrichtung und Betrieb eines geschützten Netzwerks
  • Schutz von aufbewahrten und übermittelten Karteninhaberdaten
  • Einrichtung und Betrieb eines Schwachstellen-Management-Systems
  • Umsetzung effektiver Richtlinien zur Zugriffskontrolle
  • Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
  • Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit

Verpflichtend ist PCC DSS für Payment-Service-Provider, Banken, Prozessoren und Händler, welche Karteninhaberdaten entgegennehmen, speichern oder übermitteln. Somit unterliegen auch alle Online-Shopbetreiber und Unternehmen, die Kreditkartenzahlung anbieten möchten, diesen Konformitätsregelungen. Um die aufwendige technische Umsetzung der geforderten Kriterien zu minimieren und die Kosten zu ersparen, bietet sich ein Payment-Service-Provider an, der mit PCI DSS konformen Payment-Plugins und weiteren Lösungen arbeitet.

Abhängig von der Menge des Transaktionsvolumens pro Jahr, werden die Zertifizierungsanforderungen in vier Kategorien unterteilt. Aufgrund unserer Funktion als Payment Service Provider, gelten dabei für die Novalnet AG mit Level 1 die strengsten Bestimmungen.

PCI DSS unterteilt in 4 verschiedene Levels

Level 1
Jährlich mehr als 6 Mio. Transaktionen oder im Ermessen einer Kreditkartenorganisation als Level 1 eingestuft. Level 1 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Sicherheitsprüfung vor Ort (Audit) vor.

Level 2
Jährlich zwischen 1 Mio. und als 6 Mio. Transaktionen oder durch eine Kreditkartenorganisation als Level 2 eingestuft. Level 2 sieht einen vierteljährigen Schwachstellen-Scan, eine jährliche Selbstauskunft (SAQ) sowie eine jährliche Sicherheitsprüfung vor Ort vor.

Level 3
Wer über MasterCard oder Visa jährlich zwischen 20.000 und 1.000.000 eCommerce-Transaktionen durchführt oder durch eine Kreditkartenorganisation als Level 3 eingestuft wird. Level 3 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Selbstauskunft vor.

Level 4
Alle die nicht als Level 1-3 eingestuft wurden. Level 4 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Selbstauskunft vor.

Sicherheitsanforderungen des PCI DSS Regelwerkes in einer kurzen Übersicht

  1. Installation, Einrichtung und regelmäßige Aktualisierung der Firewall zum Schutz von Daten
  2. Keine Verwendung der von Lieferanten/Herstellern vorgegebenen System-Passwörter bzw. anderer Sicherheits-Parameter
  3. Schutz der gespeicherten Daten: keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten wie bspw. vollständige Daten, Kartennummer, CVV2 usw.
  4. Karteninhaberdaten werden nur in verschlüsselter Form über das öffentliche Netz übertragen
  5. Nutzung und regelmäßige Aktualisierung von Anti-Viren-Programmen
  6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
  7. Beschränkung des Datenzugriffs
  8. Zuweisung von eindeutigen Kennungen für alle Personen mit Zugriff zu einem Computersystem
  9. Einschränkung sensibler Karteninhaberdaten durch restriktive Zugriffsberechtigungen
  10. Ständige Überprüfung und Verfolgung der Zugriffe auf Karteninhaberdaten und Netzwerk-Ressourcen
  11. Laufende Überwachung der Sicherheitssysteme und -prozesse
  12. Unternehmensrichtlinien in Sachen Informationssicherheit

Die Bedeutung der PCI DSS Zertifizierung für Händler

Sie als Händler unterliegen einer Zertifizierungspflicht, da Sie Kreditkartenzahlungen über Ihr System speichern und verarbeiten können. Für den Fall, dass Sie Kreditkartenaktionen ohne Zertifizierung durchführen, drohen Ihnen hohe Strafzahlungen und als letzte Instanz sogar die Entziehung der Akzeptanz des Kreditkartenvertrags. Dementsprechend stellt die eigenständige Verarbeitung und Speicherung von Kreditkartendaten für Sie als Händler eine große Belastung dar, welche wir durch unser besonderes Angebot für Sie weitgehend beheben können.

Wie Sie als Händler einer PCI-Zertifizierung ausweichen können

Sie können dieser Zertifizierung ganz einfach ausweichen, indem Sie uns als Payment-Service-Provider die Verarbeitung und Speicherung der Kreditkartendaten überlassen. Die Novalnet AG wurde als einer den führenden Payment-Service-Providern nach dem PCI Data Security Standard mit dem höchsten Level (Level 1) zertifiziert und ist daher problemlos in der Lage, für Sie die Kreditkartendaten Ihrer Kunden zu verarbeiten und zu speichern. Durch dieses spezielle Angebot, können unsere Kunden die PCI-Zertifizierung umgehen, indem Sie die Kreditkartendaten unmittelbar auf der PCI DSS zertifizierten FinanceGate-Plattform der Novalnet AG eingeben. Dafür kann eigens ein spezielles Zahlungsformular in Ihr Online-Angebot eingebunden werden, mithilfe dessen die Eingabe der Kunden- und Bankdaten erfolgen kann. Außerdem ist eine mühelose Anbindung an vorhandene Formulare und Checkout-Seiten über den Channel „Client API“ per Ajax und Redirect möglich. Bei der Dateneingabe befindet sich der Kunde folglich nicht auf Ihren Systemen, sondern auf der ePayment-Plattform FinanceGate der Novalnet AG. Da sich Frontend und Client APi dabei frei gestalten lassen, ist für Ihre Kunden nicht ersichtlich, dass die für die Zahlung notwendigen Daten unmittelbar auf unsere ePayment Plattform weitergeleitet wurden. Dadurch kommen Sie trotz Ihrer Funktion als Händler niemals direkt mit den Kreditkartendaten Ihrer Kunden in Berührung, da sowohl die Verarbeitung, als auch die Speicherung über diese Plattform stattfindet. Nach der Dateneingabe im Channel „Frontend“ oder „Client API“ können über das Novalnet Merchant Interface (PMI), sowie über den Channel FinanceGate „Server API“ als Folgeprozesse abgewickelt werden, so beispielsweise die Durchführung von Rückerstattungen oder Buchungen. Um dies ausführen zu können, muss über den FinanceGate Server API lediglich die zugehörige Transaktionsnummer eingegeben werden, welche Ihren Systemen nach der erfolgreichen Abwicklung der Transaktion über FinanceGate Frontend zurückgemeldet wurde. Dadurch wird sichergestellt, dass keine Kreditkartendaten über Ihre Systeme verarbeitet oder gespeichert werden und Sie dementsprechend auch nicht der Zertifizierungspflicht unterliegen.

Weitere Informationen

Weiterführende Informationen zu PCI DSS finden Sie auf den unter folgender Website des PCI Security Standards Council und den Websites von Visa und MasterCard unter:

https://www.pcisecuritystandards.org

http://www.visaeurope.com/aboutvisa/security/ais/main.jsp

http://www.mastercard.com/uk/merchant/en/security/what_can_do/SDP/mercha...