PCI-DSS-Zertifizierung

Die Novalnet ist nach Level 1, dem höchsten Level des PCI-DSS-Standards, zertifiziert.

Wir unterziehen uns regelmäßig den Prüfungen nach den Vorschriften der PCI-DSS-Organisation und haben alle bisherigen Überprüfungen immer erfolgreich bestanden. Durch die PCI-DSS-Zertifizierung der höchsten Stufe bieten wir Ihnen den höchstmöglichen Schutz und die höchstmögliche Sicherheit für Online-Händler.

Link zum PCI-DSS-Zertifikat (Level 1) der Novalnet

Somit benötigen Sie keine eigene PCI-Zertifizierung. Auch der üblicherweise von jedem Unternehmen, das Kreditkarten als Zahlungsart anbietet, jährlich durchzuführende Self-Assessment Questionaire (SAQ) nach SAQ-A ist nach aktuellem Stand für Kunden nicht verpflichtend durchzuführen. Bei der Beauftragung Dritter stellen wir sicher, dass die entsprechenden Standards erfüllt werden.

Tokenisierung und andere PCI-konforme Verfahren

Als unser Vertragspartner können Sie die PCI-Zertifizierung umgehen, indem sie ihre Kunden die Kreditkartendaten unmittelbar auf der PCI-DSS-zertifizierten Plattform der Novalnet eingeben lassen. Dafür kann eigens ein spezielles Zahlungsformular in Ihr Online-Angebot eingebunden werden, zum Beispiel per Hosted Inline iFrame. Bei der Eingabe der Kunden- und Bankdaten befinden sich Ihre Kunden dann nicht auf Ihren Systemen, sondern auf der Zahlungs-Plattform der Novalnet. Die Zahlungsformulare lassen sich auf Wunsch frei in Ihrem eigenen Layout bzw. Ihrer Corporate Identity gestalten. Dies nennt man White-Label-Lösung.

Dadurch kommen Sie trotz Ihrer Funktion als Händler niemals direkt mit den Kreditkartendaten Ihrer Kunden in Berührung, da sowohl die Verarbeitung als auch – sofern überhaupt erforderlich – die Speicherung über unsere Plattform stattfinden. Auch diverse Folgeprozesse, beispielsweise die Durchführung von Rückerstattungen, können Sie bequem über unsere Plattform abwickeln.

Wir nutzen dafür das Tokenisierungs-Verfahren, das mit verschlüsselten Ersatznummern (Tokens) statt mit den echten Kartennummern arbeitet. Nur die Tokens werden im Bezahlprozess genutzt. Mit diesem Verfahren minimieren wir das Risiko für Kartenmissbrauch und schützen Sie und Ihre Kunden.

Hohe Strafen

Sollten Sie selbst Kreditkartentransaktionen ohne Zertifizierung abwickeln, drohen hohe Strafzahlungen und sogar die Abschaltung des Kreditkartenakzeptanzvertrags. Für Sie als Online-Händler bedeutet die eigene Verarbeitung und Speicherung von Kreditkartendaten also ein nicht unerhebliches Risiko, dem Sie nur durch enormen Aufwand entgegenwirken können. Eine eigene Zertifizierung ist außerdem sehr kostenintensiv und kann schnell eine bis zu fünfstellige Summe kosten. Mit der Novalnet brauchen Sie sich um die PCI-Compliance keine Gedanken machen.

Wofür steht PCI DSS?

PCI DSS ist die Abkürzung für Payment Card Industry Data Security Standard. Dabei handelt es sich um teilweise extrem aufwendige und kostenintensive Sicherheitsvorkehrungen, die von den Kreditkartenunternehmen zum Schutz der Sicherheit der Daten vorgeschrieben sind und in regelmäßigen Abständen kontrolliert werden müssen. Abhängig von der Menge des jährlichen Transaktionsvolumens unterteilen sich die Zertifizierungsanforderungen in vier Kategorien: Level 1 bis Level 4. Für die Novalnet gelten als Payment-Service-Provider die strengsten Bestimmungen des Levels 1.

Level 1

Jährlich mehr als 6 Mio. Transaktionen oder von einer Kreditkartenorganisation als Level 1 eingestuft. Level 1 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Sicherheitsprüfung vor Ort (Audit) vor.

Gemeinsamer Standard der Kreditkartenunternehmen

Um die Sicherheit von Karten- und Karteninhaberdaten sowie das Vertrauen in das Zahlungssystem Kreditkarte zu verbessern, haben sich die Kreditkartenunternehmen Visa, Mastercard, American Express, Discover und JCB im Jahr 2006 zum Payment Card Industry Security Standards Council (PCI SSC) zusammengeschlossen und einen Mindeststandard für Datensicherheit geschaffen. Die Aufgabe dieser Institution besteht darin, diesen Sicherheitsstandard für jene Unternehmen zu verwalten und umzusetzen, die Kreditkarteninformationen verarbeiten. Vor der Gründung des PCI SSC hatten alle fünf genannten Kreditkartenunternehmen ihre eigenen Sicherheitsstandardprogramme, deren Anforderungen und Ziele miteinander vergleichbar waren, z.B. die Sicherheitsprogramme Visa AIS (Account Information Security) und Mastercard SDP (Site Data Protection).

Dieser sogenannte PCI-Standard für Datensicherheit der Kreditkartenindustrie bzw. PCI DSS ist laut den Regularien der Kreditkartenorganisationen von allen Unternehmen einzuhalten, die Kreditkartendaten verarbeiten, speichern oder weiterleiten.

Inzwischen haben alle namhaften Kreditkartenunternehmen den PCI DSS als gemeinsamen Standard anerkannt. Neben Visa und Mastercard sind das American Express, JCB, UnionPay, Diners Club und Discover Financial Services.

Bei Novalnet sind Ihre Daten sicher

Die Novalnet bietet Ihnen maximale Sicherheit für Ihre Kundendaten. Wir betreiben multiple Server- und Datenbanksysteme im Echtzeit-Parallelbetrieb, um eine zuverlässige Datensicherheit zu gewährleisten. Die Übermittlung, die Speicherung und die Weiterverarbeitung der sensiblen Zahlungsdaten erfolgt bei uns ausschließlich verschlüsselt, u.a. mithilfe der TLS-Technologie (Transport Layer Security). Dabei gewährleisten wir, dass in keinem Prozessschritt Dritte in Berührung mit den sensiblen Zahlungsdaten kommen.

Auf dieses Höchstmaß an Sicherheit werden wir jedes Jahr regelmäßig in einem mehrtägigen Vor-Ort-Audit von externen Prüfern der PCI-DSS-Organisation bis ins Detail geprüft und mit den strengen Anforderungen nach Level 1 des PCI-Standards abgeglichen. Hierzu zählen in erster Linie die Aktualität und permanente Sicherheit der IT-Infrastruktur sowie die eingesetzten Verschlüsselungs- und Abwehrtechnologien. Auch alle internen Prozesse und Richtlinien werden vor dem Hintergrund der Sicherheit der sensiblen Kreditkartendaten genauestens überprüft und protokolliert. Die Audits gehen sogar über die reine Überprüfung der vorhandenen Systeme hinaus: Alle drei Monate suchen die unabhängigen Prüfer mit realen Attacken auf die Plattform der Novalnet nach Schwachstellen. Bei diesen sogenannten Penetrationstests wird durch externe Angriffe getestet, ob es möglich ist, unser System zu kompromittieren. So können rechtzeitig Sicherheitsschwachstellen erkannt und behoben und so kriminellen Aktionen vorzeitig der Weg versperrt werden.