PCI-DSS-Zertifizierung

PCI-DSS-Zertifizierung 2018-01-18T11:30:58+00:00
PCI-DSS-Zertifizierung

Die Novalnet AG ist zertifiziert nach PCI DSS Level 1

Die Novalnet AG hat sich der Prüfung nach den Vorschriften der PCI-DSS-Organisation (Payment Card Industry Data Security Standard) unterzogen und alle bisherigen Überprüfungen erfolgreich bestanden. Durch die PCI-DSS-Zertifizierung bietet die Novalnet AG den höchstmöglichen Schutz und die höchstmögliche Sicherheit für Online-Händler.

Die PCI-DSS-Zertifizierung

Bereits seit 2006 existiert das PCI SSC (Payment Card Industry Security Standards Council), das sich zum Ziel gesetzt hat, die PCI-Sicherheitsstandards weiterzuentwickeln, darüber aufzuklären und zu verwalten. Gegründet wurde das SSC von den Kreditkartenunternehmen Visa Inc., MasterCard Worldwide, American Express, Discover Financial Services und JCB International. Die PCI-DSS-Standards gingen letztendlich aus den Sicherheitsstandards von MasterCard und Visa Inc. hervor. Dieser Sicherheitsstandard wird mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich angesehen. Der Standard definiert die Anforderungen für die Bereiche der Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten. Das Ziel ist, einen sorgfältigen und geschützten Umgang mit diesen Daten sicherzustellen. Im Detail heißt das:

  • Einrichtung und Betrieb eines geschützten Netzwerks
  • Schutz von aufbewahrten und übermittelten Karteninhaberdaten
  • Einrichtung und Betrieb eines Schwachstellen-Management-Systems
  • Umsetzung effektiver Richtlinien zur Zugriffskontrolle
  • Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
  • Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit

Verpflichtend ist der PCC DSS für Payment-Service-Provider, Banken, Prozessoren und Händler, die Karteninhaberdaten entgegennehmen, speichern oder übermitteln. Somit unterliegen auch alle Online-Shopbetreiber und Unternehmen, die Kreditkartenzahlung anbieten möchten, diesen Konformitätsregelungen. Um für sie die aufwendige technische Umsetzung der geforderten Kriterien zu minimieren und ihnen die Kosten zu ersparen, bietet sich ein Payment-Service-Provider an, der mit PCI-DSS-konformen Payment-Plugins und weiteren Lösungen arbeitet.

Abhängig von der Menge des Transaktionsvolumens pro Jahr werden die Zertifizierungsanforderungen in vier Kategorien unterteilt. Aufgrund unserer Funktion als Payment-Service-Provider gelten dabei für die Novalnet AG mit Level 1 die strengsten Bestimmungen.

Link zum PCI-DSS-Zertifikat der Novalnet AG

PCI DSS ist in 4 verschiedene Levels unterteilt

Level 1
Jährlich mehr als 6 Mio. Transaktionen oder im Ermessen einer Kreditkartenorganisation als Level 1 eingestuft. Level 1 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Sicherheitsprüfung vor Ort (Audit) vor.

Level 2
Jährlich zwischen 1 Mio. und 6 Mio. Transaktionen oder durch eine Kreditkartenorganisation als Level 2 eingestuft. Level 2 sieht einen vierteljährigen Schwachstellen-Scan, eine jährliche Selbstauskunft (SAQ) sowie eine jährliche Sicherheitsprüfung vor Ort vor.

Level 3
Wer über MasterCard oder Visa jährlich zwischen 20.000 und 1.000.000 E-Commerce-Transaktionen durchführt oder durch eine Kreditkartenorganisation als Level 3 eingestuft wird. Level 3 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Selbstauskunft vor.

Level 4
Alle, die nicht als Level 1-3 eingestuft wurden. Level 4 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Selbstauskunft vor.

Sicherheitsanforderungen des PCI-DSS-Regelwerks in einer kurzen Übersicht

  • Installation, Einrichtung und regelmäßige Aktualisierung der Firewall zum Schutz von Daten
  • Keine Verwendung der von Lieferanten/Herstellern vorgegebenen System-Passwörter bzw. anderer Sicherheits-Parameter
  • Schutz der gespeicherten Daten: keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten wie bspw. vollständige Daten, Kartennummer, CVV2 usw.
  • Karteninhaberdaten werden nur in verschlüsselter Form über das öffentliche Netz übertragen
  • Nutzung und regelmäßige Aktualisierung von Anti-Viren-Programmen
  • Entwicklung und Verwendung sicherer Systeme und Anwendungen
  • Beschränkung des Datenzugriffs
  • Zuweisung von eindeutigen Kennungen für alle Personen mit Zugriff zu einem Computersystem
  • Einschränkung sensibler Karteninhaberdaten durch restriktive Zugriffsberechtigungen
  • Ständige Überprüfung und Verfolgung der Zugriffe auf Karteninhaberdaten und Netzwerk-Ressourcen
  • Laufende Überwachung der Sicherheitssysteme und -prozesse
  • Unternehmensrichtlinien in Sachen Informationssicherheit

Die Bedeutung der PCI-DSS-Zertifizierung für Händler

Sie als Händler unterliegen einer Zertifizierungspflicht, da Sie Kreditkartenzahlungen über Ihr System speichern und verarbeiten können. Für den Fall, dass Sie Kreditkartentransaktionen ohne Zertifizierung durchführen, drohen Ihnen hohe Strafzahlungen und als letzte Instanz sogar die Entziehung der Akzeptanz des Kreditkartenvertrags. Dementsprechend stellt die eigenständige Verarbeitung und Speicherung von Kreditkartendaten für Sie als Händler eine große Belastung dar, welche wir durch unser besonderes Angebot für Sie weitgehend beheben können.

Wie Sie als Händler einer PCI-Zertifizierung ausweichen können

Sie können dieser Zertifizierung ganz einfach ausweichen, indem Sie uns als Payment-Service-Provider die Verarbeitung und Speicherung der Kreditkartendaten überlassen. Die Novalnet AG wurde als einer der führenden Payment-Service-Provider nach dem PCI Data Security Standard mit dem höchsten Level (Level 1) zertifiziert und ist daher problemlos in der Lage, für Sie die Kreditkartendaten Ihrer Kunden zu verarbeiten und zu speichern. Durch dieses spezielle Angebot können unsere Kunden die PCI-Zertifizierung umgehen, indem sie die Kreditkartendaten unmittelbar auf der PCI-DSS-zertifizierten Plattform der Novalnet AG eingeben. Dafür kann eigens ein spezielles Zahlungsformular in Ihr Online-Angebot eingebunden werden, mithilfe dessen die Eingabe der Kunden- und Bankdaten erfolgen kann. Außerdem ist eine mühelose Anbindung an vorhandene Formulare und Checkout-Seiten über den Channel „Client API“ per Ajax und Redirect möglich. Bei der Dateneingabe befindet sich der Kunde folglich nicht auf Ihren Systemen, sondern auf der E-Payment-Plattform der Novalnet AG. Da sich Frontend und Client API dabei frei gestalten lassen, ist für Ihre Kunden nicht ersichtlich, dass die für die Zahlung notwendigen Daten unmittelbar auf unsere E-Payment-Plattform weitergeleitet wurden. Dadurch kommen Sie trotz Ihrer Funktion als Händler niemals direkt mit den Kreditkartendaten Ihrer Kunden in Berührung, da sowohl die Verarbeitung als auch die Speicherung über diese Plattform stattfindet. Nach der Dateneingabe im Channel „Frontend“ oder „Client API“ können über das Novalnet-Merchant-Interface (PMI) sowie über die „Server-API“ diverse Folgeprozesse abgewickelt werden, beispielsweise die Durchführung von Rückerstattungen oder Buchungen. Um dies ausführen zu können, muss über die Server-API lediglich die zugehörige Transaktionsnummer eingegeben werden, die Ihren Systemen nach der erfolgreichen Abwicklung der Transaktion über das Frontend zurückgemeldet wurde. Dadurch wird sichergestellt, dass keine Kreditkartendaten über Ihre Systeme verarbeitet oder gespeichert werden und Sie dementsprechend auch nicht der Zertifizierungspflicht unterliegen.

Weitere Informationen

Weiterführende Informationen zu PCI DSS finden Sie auf der folgenden Webseite des PCI Security Standards Council und den Webseiten von Visa und MasterCard:

https://www.pcisecuritystandards.org

https://www.visaeurope.com/receiving-payments/security

https://www.mastercard.us/content/dam/mccom/en-us/documents/SPME-Manual-Sept-2017.pdf