29.01.2018 – Maximale Sicherheit für Kreditkartendaten: INS erlangt Zertifizierung nach PCI-DSS 3.2
Immer wieder kommt es zu spektakulären Meldungen, dass grosse Mengen vertraulicher Kreditkartendaten in die falschen Hände geraten sind. Auch der riskante Umgang mit den personenbezogenen Daten von Kreditkarteninhabern führt zu einem erhöhten Risiko für einen Datenmissbrauch. IT-Dienstleister, die die Karteninformationen Ihrer Kunden nicht professionell schützen, machen es Betrügern leicht, diese Daten zu entwenden, zu missbrauchen und erheblichen Schaden anzurichten. Wir nehmen daher unsere Verantwortung für die normativen und rechtlichen Anforderungen hinsichtlich der Sicherheit von Kreditkartendaten sehr ernst. Dies wurde INS im Januar 2018 nun auch von unabhängigen und akkreditierten Auditoren der Adsigo AG bestätigt.
INS wurde nach einer strengen Prüfung der Plattform, Sicherheitssysteme, Organisation und Rechenzentren am 29. Januar 2018 das „Certificate of PCI compliance“ nach dem aktuellem PCI Data Security Standard v3.2 überreicht.
Wenn Sie die von INS angebotenen IT-Dienstleistungen beauftragen, werden diese im Prinzip zu einer Erweiterung Ihres eigenen Unternehmens. Deshalb müssen Sie absolut sichergehen können, dass diese den Standards, denen Sie sich selbst verpflichten, entsprechen. Die Zertifizierungen der INS garantieren Ihnen, dass logische und physische Sicherheit, Servicebereitstellung und Support den branchenführenden Standards entsprechen. Dabei orientieren wir uns an den weltweiten Standards der ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationssicherheit) und ITIL® (IT Service Management). Dies bietet Ihnen die Sicherheit, dass unsere Infrastrukturen, Datenverarbeitung und Datensicherheit immer den aktuellsten Anforderungen an Compliance & Sicherheit entsprechen.
„Eine sichere Infrastruktur anzubieten, die an 365 Tagen rund um die Uhr auf höchstem Niveau betrieben wird, ist kein leichtes Unterfangen. Unsere Kunden stellen zudem höchste Ansprüche an den Umgang mit personen- und zahlungsbezogenen Daten“, kommentiert Giovanni Serpi, Informationssicherheitsbeauftragter und Mitglied der Geschäftsleitung der INS Systems GmbH und betont den Unterschied einer PCI-DSS-Zertifizierung zu einer einfachen PCI-Compliance: „INS hat sich einer strengen Evaluierung durch einen externen Auditor unterzogen, der durch den PCI Council autorisiert wurde. Eine einfache PCI-Compliance findet dagegen oft nur durch eine Selbstbeurteilung statt. Umso mehr freuen wir uns, dass wir nun über die PCI DSS-Zertifizierung verfügen“.
INS investiert kontinuierlich in die Umsetzung zahlreicher Sicherheitsmassnahmen basierend auf den Forderungen der ISO/IEC 27001:2013 und den Umsetzungsempfehlungen nach ISO/IEC 27002. Als zusätzlicher Baustein ist im Januar 2018 die Zertifizierung nach PCI DSS 3.2. hinzugekommen. Diese Zertifizierung bescheinigt INS die Erfüllung der maximalen Sicherheitskriterien im Umgang mit Kreditkartendaten. Dazu mussten wir uns einem umfangreichen Audit-Verfahren unterziehen und müssen dieses jährlich wiederholen.
Um ein transparentes Sicherheitsrahmenwerk zum Schutz von Zahlungskarteninformationen zu schaffen, haben sich die fünf grössten Kreditkartenorganisationen zum sogenannten „PCI Security Standards Council“ (PCI SSC) zusammengeschlossen und einen gemeinsamen Sicherheitsstandard veröffentlicht: den „Payment Card Industry Data Security Standard“ (PCI DSS). Leistet ein Kunde mit einer Kredit- oder Debitkarte eine Zahlung direkt an eine Organisation, so gelten automatisch die PCI-DSS Anforderungen.
Diese Regelungen bestehen aus einer Liste von zwölf konkreten Anforderungen an die Prozesse und IT-Infrastruktur eines Unternehmens:
- Installation und Pflege einer Firewall zum Schutz der Daten
- Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
- Schutz der gespeicherten Daten von Kreditkarteninhabern
- Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
- Einsatz und regelmässiges Update von Virenschutzprogrammen
- Entwicklung und Pflege sicherer Systeme und Anwendungen
- Einschränken von Datenzugriffen auf das Notwendige
- Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
- Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
- Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
- Regelmässige Prüfungen aller Sicherheitssysteme und -prozesse
- Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
Die Norm wurde entwickelt, um die Datensicherheit der Karteninhaber zu fördern und zu verbessern und eine breite Anwendung von konsistenten Datensicherheitsmassnahmen weltweit zu ermöglichen.
PCI DSS gilt weltweit verpflichtend für alle an der Zahlungskartenbearbeitung beteiligten Unternehmen – einschliesslich Händler, Finanzinstitute und Dienstleister sowie alle anderen Einheiten, die Karteninhaberdaten und / oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.