PCI-DSS-Zertifizierung

PCI-DSS-Zertifizierung 2018-08-29T16:39:15+00:00
PCI DSS

Die Novalnet AG ist zertifiziert nach PCI-DSS-Level 1

Die Novalnet AG unterzieht sich regelmäßig Prüfungen nach den Vorschriften der PCI-DSS-Organisation (Payment Card Industry Data Security Standard) und hat alle bisherigen Überprüfungen immer erfolgreich bestanden. Durch die PCI-DSS-Zertifizierung der höchsten Stufe bietet die Novalnet AG den höchstmöglichen Schutz und die höchstmögliche Sicherheit für Online-Händler.

Lückenlose Sicherheit

Zahllose Fälle von Kreditkartenmissbrauch haben in der Vergangenheit neben massiven Imageschäden zu hohen Kosten bei vielen Onlinehändlern geführt. Und auch noch heute hält sich das hartnäckige Vorurteil auf Seiten der Verbraucher, Kreditkartenzahlungen im Internet seien nicht sicher.

Unter anderem aus diesen Gründen haben sich die Kreditkartenorganisationen auf einen gemeinsamen Sicherheits-Standard verständigt, um die Datensicherheit von Kreditkartendaten zu gewährleisten. Dieser sogenannte PCI-Standard bzw. PCI DSS ist laut den Regularien der Kreditkartenorganisationen von allen Unternehmen einzuhalten, die Kreditkartendaten technisch verarbeiten oder speichern.

Wofür steht PCI DSS?

PCI DSS ist die Abkürzung für Payment Card Industry Data Security Standard und basiert auf den Sicherheitsprogrammen Visa AIS (Account Information Security) und MasterCard SDP (Site Data Protection). Dabei handelt es sich um teilweise extrem aufwendige und kostenintensive Sicherheitsvorkehrungen, die zum Schutz der Datensicherheit von den Kreditkartenunternehmen vorgeschrieben sind und in regelmäßigen Abständen kontrolliert werden müssen. Abhängig von der Menge des jährlichen Transaktionsvolumens unterteilen sich die Zertifizierungsanforderungen in vier Kategorien: Level 1 bis Level 4. Für die Novalnet AG gelten als Payment-Service-Provider die strengsten Bestimmungen des Levels 1.

Level 1
Jährlich mehr als 6 Mio. Transaktionen oder im Ermessen einer Kreditkartenorganisation als Level 1 eingestuft. Level 1 sieht einen vierteljährigen Schwachstellen-Scan und eine jährliche Sicherheitsprüfung vor Ort (Audit) vor.

Link zum PCI-DSS-Zertifikat (Level 1) der Novalnet AG

Was dies für Sie als Händler bedeutet

Wenn Sie Kreditkartenzahlungen über Ihre eigenen Systeme verarbeiten oder speichern, unterliegen Sie als Händler grundsätzlich der Zertifizierungspflicht. Wickeln Sie Kreditkartentransaktionen ohne Zertifizierung ab, drohen hohe Strafzahlungen und sogar die Abschaltung des Kreditkartenakzeptanzvertrags. Für Sie als Online-Händler bedeutet die eigene Verarbeitung und Speicherung von Kreditkartendaten also ein nicht unerhebliches Risiko, welchem nur durch enormen Aufwand entgegengewirkt werden kann.

Novalnet nimmt Ihnen die Pflicht zur PCI-DSS-Zertifizierung ab

Online-Händler, die keine Kreditkartendaten selbst (d. h. in ihren eigenen Systemen) speichern, verarbeiten oder übermitteln wollen, können eine umfangreiche Zertifizierung vermeiden, wenn sie für die Verarbeitung und (falls nötig) Speicherung der Kreditkartendaten Novalnet als einen der führenden Payment-Service-Provider nutzen. Eine eigene Zertifizierung ist außerdem sehr kostenintensiv und kann schnell bis zu eine fünfstellige Summe kosten.

Die Novalnet AG wurde nach dem PCI Data Security Standard mit dem höchsten Level (Level 1) zertifiziert. Wir sind daher problemlos in der Lage, für Sie die Kreditkartendaten Ihrer Kunden zu verarbeiten und – falls erforderlich – zu speichern. Durch dieses spezielle Angebot können unsere Vertragspartner die PCI-DSS-Zertifizierung umgehen, indem sie ihre Kunden die Kreditkartendaten unmittelbar auf der PCI-DSS-zertifizierten Plattform der Novalnet AG eingeben lassen. Dafür kann eigens ein spezielles Zahlungsformular in Ihr Online-Angebot eingebunden werden, z.B. per Hosted Inline iFrame. Bei der Eingabe der Kunden- und Bankdaten befinden sich Ihre Kunden daher nicht auf Ihren Systemen, sondern auf der Zahlungs-Plattform der Novalnet AG. Die Zahlungsformulare lassen sich auf Wunsch auch in Ihrem eigenen Layout bzw. Ihrer Corporate Identity frei gestalten. So merken Ihre Kunden nicht einmal, dass sie bzw. ihre für die Zahlung notwendigen Daten auf unsere Payment-Plattform weitergeleitet werden. Dies nennt man White-Label-Lösung.

Eine mühelose Anbindung an vorhandene Formulare und Checkout-Seiten ist über unsere Schnittstellen „Frontend“ und „Client-API“ möglich. Dadurch kommen Sie trotz Ihrer Funktion als Händler niemals direkt mit den Kreditkartendaten Ihrer Kunden in Berührung, da sowohl die Verarbeitung als auch – sofern überhaupt erforderlich – die Speicherung über unsere Plattform stattfinden. Auch diverse Folgeprozesse, beispielsweise die Durchführung von Rückerstattungen, können Sie bequem über unsere Plattform abwickeln. Wir nutzen dafür das Tokenisierungs-Verfahren, das mit verschlüsselten Ersatznummern (Tokens) statt mit den echten Kartennummern arbeitet. Nur die Tokens werden im Bezahlprozess genutzt. Mit diesem Verfahren minimieren wir das Risiko für Kartenmissbrauch und schützen Sie und Ihre Kunden. Und es ist sichergestellt, dass keine Kreditkartendaten über Ihre Systeme verarbeitet oder gespeichert werden und Sie dementsprechend auch nicht der Zertifizierungspflicht nach dem PCI DSS unterliegen.

Übersicht unserer Schnittstellen

Bei Novalnet sind Ihre Daten sicher

Die Novalnet AG bietet Ihnen maximale Sicherheit für Ihre Kundendaten. Wir betreiben multiple Server- und Datenbanksysteme im Echtzeit-Parallelbetrieb, um eine zuverlässige Datensicherheit zu gewährleisten. Die Übermittlung, die Speicherung und die Weiterverarbeitung der sensiblen Zahlungsdaten erfolgt bei uns ausschließlich verschlüsselt, u.a. mithilfe der TLS-Technologie (Transport Layer Security). Dabei gewährleisten wir, dass in keinem Prozessschritt Dritte in Berührung mit den sensiblen Zahlungsdaten kommen. Dieses Höchstmaß an Sicherheit wird jedes Jahr regelmäßig in einem mehrtägigen Vor-Ort-Audit von externen Prüfern der PCI-DSS-Organisation bis ins Detail geprüft und mit den strengen Anforderungen nach Level 1 des PCI-Standards abgeglichen. Hierzu zählen in erster Linie die Aktualität und permanente Sicherheit der IT-Infrastruktur sowie die eingesetzten Verschlüsselungs- und Abwehrtechnologien. Auch alle internen Prozesse und Richtlinien werden vor dem Hintergrund der Sicherheit der sensiblen Kreditkartendaten genauestens überprüft und protokolliert. Die Audits gehen sogar über die reine Überprüfung der vorhandenen Systeme hinaus: Alle drei Monate suchen die unabhängigen Prüfer mit realen Attacken auf die Plattform der Novalnet AG nach Schwachstellen. Bei diesen sogenannten Penetrationstests wird durch externe Angriffe getestet, ob es möglich ist, unser System zu kompromittieren. So können rechtzeitig Sicherheitsschwachstellen erkannt und behoben und so kriminellen Aktionen vorzeitig der Weg versperrt werden.

PCI-DSS-Bestimmungen

Bereits seit 2006 existiert das PCI SSC (Payment Card Industry Security Standards Council), das sich zum Ziel gesetzt hat, die PCI-Sicherheitsstandards weiterzuentwickeln, darüber aufzuklären und zu verwalten. Gegründet wurde das SSC von den Kreditkartenunternehmen Visa Inc., MasterCard Worldwide, American Express, Discover Financial Services und JCB International. Der PCI-DSS-Standard ging letztendlich aus den Sicherheitsstandards von MasterCard und Visa Inc. hervor. Dieser Sicherheitsstandard wird mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich angesehen. Er definiert die Anforderungen für die Bereiche der Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten. Das Ziel ist es, einen sorgfältigen und geschützten Umgang mit diesen Daten sicherzustellen. Im Detail heißt das:

  • Einrichtung und Betrieb eines geschützten Netzwerks
  • Schutz von aufbewahrten und übermittelten Karteninhaberdaten
  • Einrichtung und Betrieb eines Schwachstellen-Management-Systems
  • Umsetzung effektiver Richtlinien zur Zugriffskontrolle
  • Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
  • Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit

Verpflichtend ist der PCC DSS für alle Payment-Service-Provider, Banken, Prozessoren und Händler, die Karteninhaberdaten entgegennehmen, speichern oder übermitteln. Somit unterliegen auch alle Online-Shopbetreiber und Unternehmen, die Kreditkartenzahlung anbieten möchten, diesen Konformitätsregelungen. Um für sie die aufwendige technische Umsetzung der geforderten Kriterien zu minimieren und ihnen die Kosten zu ersparen, bietet sich ein Payment-Service-Provider wie Novalnet an, der mit PCI-DSS-konformen Payment-Plugins und weiteren Lösungen arbeitet.

Sicherheitsanforderungen des PCI-DSS-Regelwerks in einer kurzen Übersicht

  • Installation, Einrichtung und regelmäßige Aktualisierung der Firewall zum Schutz von Daten
  • Keine Verwendung der von Lieferanten/Herstellern vorgegebenen System-Passwörter bzw. anderer Sicherheits-Parameter
  • Schutz der gespeicherten Daten: keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten wie bspw. vollständige Daten, Kartennummer, CVV2 usw.
  • Karteninhaberdaten werden nur in verschlüsselter Form über das öffentliche Netz übertragen
  • Nutzung und regelmäßige Aktualisierung von Anti-Viren-Programmen
  • Entwicklung und Verwendung sicherer Systeme und Anwendungen
  • Beschränkung des Datenzugriffs
  • Zuweisung von eindeutigen Kennungen für alle Personen mit Zugriff zu einem Computersystem
  • Einschränkung sensibler Karteninhaberdaten durch restriktive Zugriffsberechtigungen
  • Ständige Überprüfung und Verfolgung der Zugriffe auf Karteninhaberdaten und Netzwerk-Ressourcen
  • Laufende Überwachung der Sicherheitssysteme und -prozesse
  • Unternehmensrichtlinien in Sachen Informationssicherheit

Weitere Informationen

Weiterführende Informationen zu PCI DSS finden Sie auf der folgenden Webseite des PCI Security Standards Council und den Webseiten von Visa und MasterCard:

Zur Website des PCI Security Standards Council

Zur Webseite von VISA

Zur Webseite von MasterCard