Nach unabhängiger Prüfung durch PCI qualifizierte Spezialisten erfüllt die Novalnet AG erneut die höchste Sicherheitsstufe (LEVEL 1) nach dem neuesten PCI DSS Standard v3.2.1. Durch diese Zertifizierung bietet die Novalnet AG die volle PCI Compliance, den höchstmöglichen Schutz und die höchstmögliche Sicherheit für Onlinehändler. Zu den strengen Auflagen der Level 1 Zertifizierung gehören unter anderem regelmäßige Audits und Sicherheit-Scans durch einen Qualified Security Assessor. Sicherheit ist bei der Speicherung, Verarbeitung und Übertragung von Kreditkartendaten ein grundlegendes Kriterium. Den PCI DSS Standard müssen daher alle Unternehmen einhalten, die mit Kreditkartendaten in Berührung kommen bzw. Kreditkartenzahlung anbieten möchten. Die Zahlungsart Kreditkarte gehört unter anderem zum Portfolio des Zahlungsdienstleisters Novalnet AG.

Mit Novalnet ist PCI DSS nicht zwingend erforderlich für Händler

Händler und Shopbetreiber können sich die aufwendige PCI Zertifizierung sparen, indem sie z.B. die PCI DSS Zertifizierung eines Payment-Service-Providers wie Novalnet nutzen. Wichtig ist hierbei, dass der Dienstleister PCI DSS konform ist (was zum Beispiel auf den Webseiten von VISA und Mastercard überprüft werden kann) und der Händler keine Kreditkartendaten speichert, verarbeitet oder übermittelt. Dies kann beispielsweise über ein PCI DSS konformes Payment-Plugin des Anbieters geschehen. Somit erspart sich der Händler unter anderem empfindliche Strafen, falls er sich nicht selbst zertifiziert. Neben empfindlichen Geldstrafen droht hier unter anderem auch ein Entzug der Erlaubnis, Kreditkartenzahlungen entgegenzunehmen. Außerdem haftet der Händler, wenn Kreditkartendaten gestohlen oder missbraucht werden.

Höchstes PCI DSS Level

Aufwendige und kostenintensive Prüfverfahren sind nötig, um die höchste Zertifizierungsklasse, PCI DSS Level 1, zu erhalten. Die Novalnet AG hat sich nun erneut nach den höchsten Prüfverfahren und -kriterien durch einen offiziell vom PCI Security Standards Council akkreditierten Auditor überprüfen lassen. Dabei führten ausgebildete Prüfer (QSA) wieder eine strenge Kontrolle vor Ort durch. Sie untersuchten unter anderem die Server- und Applikationssicherheit sowie den Datenschutz.

Gabriel Dixon, Vorstandsvorsitzender der Novalnet AG, äußert sich dazu folgendermaßen: „Wir sind stolz, die hohen Sicherheitsanforderungen des PCI DSS Level 1 weiterhin zu erfüllen und unseren Kunden somit größte Sicherheit zu bieten. Diese schätzen neben unserem Service die Qualität und die Sicherheit, die wir im Laufe der Jahre regelmäßig immer wieder unter Beweis stellen.

Sicherheit war und wird auch weiterhin unsere höchste Priorität sein, so Holger Bosk, CTO der Novalnet AG. Um auch in Zukunft die Sicherheit zu gewährleisten, arbeiten wir stets am Ausbau unserer technischen Infrastruktur und weiteren Sicherheitsmaßnahmen“.

Sicherheitsanforderungen des PCI DSS Regelwerkes in einer kurzen Übersicht

  1. Installation, Einrichtung und regelmäßige Aktualisierung der Firewall zum Schutz von Daten
  2. Keine Verwendung der von Lieferanten/Herstellern vorgegebenen System-Passwörter bzw. anderer Sicherheits-Parameter
  3. Schutz der gespeicherten Daten: keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten wie bspw. vollständige Daten, Kartennummer, CVC2 usw.
  4. Karteninhaberdaten werden nur in verschlüsselter Form über das öffentliche Netz übertragen
  5. Nutzung und regelmäßige Aktualisierung von Anti-Viren-Programmen
  6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
  7. Beschränkung des Datenzugriffs
  8. Zuweisung von eindeutigen Kennungen für alle Personen mit Zugriff zu einem Computersystem
  9. Einschränkung sensibler Karteninhaberdaten durch restriktive Zugriffsberechtigungen
  10. Ständige Überprüfung und Verfolgung der Zugriffe auf Karteninhaberdaten und Netzwerk-Ressourcen
  11. Laufende Überwachung der Sicherheitssysteme und -prozesse
  12. Unternehmensrichtlinien in Sachen Informationssicherheit

Was ist PCI DSS?

Bereits seit 2006 existiert das PCI SSC (Payment Card Industry Security Standards Council), das sich zum Ziel gesetzt hat, die PCI-Sicherheitsstandards weiterzuentwickeln, darüber aufzuklären und sie zu verwalten. Gegründet wurde das SSC von den Kreditkartenunternehmen Visa Inc., Mastercard Worldwide, American Express, Discover Financial Services und JCB International. Die PCI DSS Standards gingen letztendlich aus den Sicherheitsstandards von Mastercard und VISA Inc. hervor. Dieser Sicherheitsstandard wird mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich angesehen. Der PCI DSS Standard definiert die Anforderungen für die Bereiche der Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten. Sein Ziel ist es, einen sorgfältigen und geschützten Umgang mit diesen Daten sicherzustellen. Im Detail heißt das:

  • Einrichtung und Betrieb eines geschützten Netzwerks
  • Schutz von aufbewahrten und übermittelten Karteninhaberdaten
  • Einrichtung und Betrieb eines Schwachstellen-Management-Systems
  • Umsetzung effektiver Richtlinien zur Zugriffskontrolle
  • Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
  • Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit

Verpflichtend ist der PCC DSS für Payment-Service-Provider, Banken, Prozessoren und Händler, die Karteninhaberdaten entgegennehmen, speichern oder übermitteln. Somit unterliegen auch alle Online-Shopbetreiber und Unternehmen, die Kreditkartenzahlung akzeptieren möchten, diesen Konformitätsregelungen. Um die aufwendige technische Umsetzung der geforderten Kriterien zu minimieren und Kosten zu ersparen, übernimmt Novalnet, als Full Service Payment Anbieter, für seine Vertragspartner das Thema PCI DSS Kompabilität. Diese können durch das technische „Know-how“ und die PCI-konformen Lösungen aus Ismaning eine strenge und kostenintensive Zertifizierung nach dem PCI DSS vermeiden.