17.04.2019 – Erfolgreiche PCI-DSS 3.2 Rezertifizierung
PCI DSS – diese sechs Buchstaben stehen für die sichere Kreditkartenzahlung im Internet. Bei dem Payment Card Industry Data Security Standard handelt es sich um sicherheitsbezogene Anforderungen an ein sicheres Übertragen, Verarbeiten und Speichern von Kreditkartendaten. Eine entsprechende Zertifizierung aller beteiligten Unternehmen – sowohl des Serviceanbieters, als auch des IT Service Providers – signalisiert Ihnen, dass Ihre sensiblen Daten sicher sind. Seit 2018 ist INS ein nach PCI DSS zertifiziertes Unternehmen, das den höchsten Sicherheitsstandards unterliegt und damit unsere Kunden aktiv vor Missbrauch schützt. Wir wollen unseren Kunden den höchstmöglichen Schutz im Zahlungsverkehr bieten und haben uns daher für die aufwändige Massnahme dieser Zertifizierung durch die unabhängigen Auditoren der Adsigo AG entschieden. Im April 2019 wurde uns nach einem aufwändigen mehrstufigen Auditprozess die Zertifizierung nach allen 12 konkreten Anforderungen der Norm erneut ohne Abweichung bestätigt – darüber freuen wir uns sehr.
Wenn Sie die von INS angebotenen IT-Dienstleistungen beauftragen, werden diese im Prinzip zu einer Erweiterung Ihres eigenen Unternehmens. Deshalb müssen Sie absolut sichergehen, dass diese den Standards, denen Sie sich selbst verpflichten, entsprechen. Die Zertifizierungen der INS garantieren Ihnen, dass logische und physische Sicherheit, Servicebereitstellung und Support den branchenführenden Standards entsprechen. Dabei orientieren wir uns an den weltweiten Standards der ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationssicherheit) und ITIL® (IT Service Management). Dies bietet Ihnen die Sicherheit, dass unsere Infrastrukturen, Datenverarbeitung und Datensicherheit immer den aktuellsten Anforderungen an Compliance & Sicherheit entsprechen.
„Eine sichere Infrastruktur anzubieten, die an 365 Tagen rund um die Uhr auf höchstem Niveau betrieben wird, ist kein leichtes Unterfangen. Unsere Kunden stellen zudem höchste Ansprüche an den Umgang mit personen- und zahlungsbezogenen Daten“, kommentiert Giovanni Serpi, Informationssicherheitsbeauftragter und Mitglied der Geschäftsleitung der INS Systems GmbH und betont den Unterschied einer PCI-DSS-Zertifizierung zu einer einfachen PCI-Compliance: „INS hat sich einer strengen Evaluierung durch einen externen Auditor unterzogen, der durch den PCI Council autorisiert wurde. Eine einfache PCI-Compliance findet dagegen oft nur durch eine Selbstbeurteilung statt. Umso mehr freuen wir uns, dass wir nun über die PCI DSS-Zertifizierung verfügen“.
INS investiert kontinuierlich in die Umsetzung zahlreicher Sicherheitsmassnahmen basierend auf den Forderungen der ISO/IEC 27001:2013 und den Umsetzungsempfehlungen nach ISO/IEC 27002. Als zusätzlicher Baustein ist im Januar 2018 die Zertifizierung nach PCI DSS 3.2. hinzugekommen. Diese Zertifizierung bescheinigt INS die Erfüllung der maximalen Sicherheitskriterien im Umgang mit Kreditkartendaten. Dazu mussten wir uns einem umfangreichen Audit-Verfahren unterziehen und müssen dieses jährlich wiederholen.
Um ein transparentes Sicherheitsrahmenwerk zum Schutz von Zahlungskarteninformationen zu schaffen, haben sich die fünf grössten Kreditkartenorganisationen zum sogenannten „PCI Security Standards Council“ (PCI SSC) zusammengeschlossen und einen gemeinsamen Sicherheitsstandard veröffentlicht: den „Payment Card Industry Data Security Standard“ (PCI DSS). Leistet ein Kunde mit einer Kredit- oder Debitkarte eine Zahlung direkt an eine Organisation, so gelten automatisch die PCI-DSS Anforderungen.
Diese Regelungen bestehen aus einer Liste von zwölf konkreten Anforderungen an die Prozesse und IT-Infrastruktur eines Unternehmens:
- Installation und Pflege einer Firewall zum Schutz der Daten
- Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
- Schutz der gespeicherten Daten von Kreditkarteninhabern
- Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
- Einsatz und regelmässiges Update von Virenschutzprogrammen
- Entwicklung und Pflege sicherer Systeme und Anwendungen
- Einschränken von Datenzugriffen auf das Notwendige
- Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
- Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
- Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
- Regelmässige Prüfungen aller Sicherheitssysteme und -prozesse
- Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
Die Norm wurde entwickelt, um die Datensicherheit der Karteninhaber zu fördern und zu verbessern und eine breite Anwendung von konsistenten Datensicherheitsmassnahmen weltweit zu ermöglichen.
PCI DSS gilt weltweit verpflichtend für alle an der Zahlungskartenbearbeitung beteiligten Unternehmen – einschlieslich Händler, Finanzinstitute und Dienstleister sowie alle anderen Einheiten, die Karteninhaberdaten und / oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.