Zum Schutz der Karteninhaber

Zum Schutz der Karteninhaber

9. November 2007 - Im Umgang mit Kreditkartendaten ist für Webshops seit Ende September ein neuer Sicherheits-Standard Pflicht.
Artikel erschienen in IT Magazine 2007/20

Zahlungen über das Internet werden immer beliebter, das Marktvolumen soll sich laut einer Studie von Forrester Research in den nächsten fünf Jahren mehr als verdoppeln. Täglich werden dabei unzählige Kreditkarten-Transaktionen getätigt. Mit dem rasanten Wachstum steigt jedoch auch das Risiko, Opfer von Internetkriminellen zu werden. Sie sehen hier eine neue «Einnahmequelle». Deshalb sind alle Webshop-Anbieter gefordert, die Daten bestmöglich zu schützen, um so das Vertrauen der Kunden nicht zu untergraben.


Die 12 Richtlinien des PCI Data Security Standard


Bei uns noch kein Thema

Um den aktuellen und kommenden Bedrohungen bei Online-Einkäufen gerecht zu werden, müssen sich seit Ende September alle Firmen, die in irgendwelcher Form Kreditkartendaten speichern oder verarbeiten, an den Payment Card Industry Data Security Standard (PCI DSS) halten. In zwölf Punkten (siehe Kasten rechts und Seite 52) schreiben die «grossen» Kreditkartenfirmen wie Visa oder Mastercard ihren Business-Partnern vor, was sie ab sofort an Security-Massnahmen umzusetzen haben. Bisher gingen sie recht kulant um, aber im Hinblick auf das kommende, grosse Risikopotential unternehmen sie etwas. Hält sich jemand nicht an die Auflagen, drohen ihm hohe Strafen – der die Kreditkartengebühren werden erhöht.



Der PCI DSS ist für einen Standard mit nur 20 A4-Seiten Umfang recht schlank und einfach gehalten. «Er sollte von einem KMU mit Webshop ohne enorm grossen Aufwand erreicht werden können», meint Cyrill Osterwalder, CEO der Visonys AG, die zur Payment Card Industry Security Vendor Alliance (siehe Kasten Seite 52) gehört und Betroffene bei der Erfüllung der Vorgaben unterstützt. Auf den ersten Blick also eine einfache Sache. Allerdings sieht Osterwalder auch zwei Knackpunkte: Zum einen fehle da und dort in den Unternehmen das nötige Know-how zur Umsetzung, zum anderen stehe im Standard nichts darüber, bis zu welchem Detailgrad man die Punkte erfüllen muss.



Bis zur effektiven Umsetzung des PCI DSS sind in der Schweiz jedoch erst sehr wenige Unternehmen gekommen. In unseren Nachbarländern Österreich und Deutschland ist man da laut Osterwalder bereits viel weiter. In den USA und Grossbritannien ebenfalls. Die Gründe sieht er darin, dass die Kreditkartenfirmen wie Visa bisher vor allem auf die ganz Grossen Druck ausüben, das heisst auf Firmen mit mehreren Millionen Transaktionen pro Jahr. Davon gibt es in der Schweiz nicht sehr viele.





Visualisierung von Visonys Airlock

 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER