PCI

PCI-Compliance

Die Sicherheit im E-Commerce steht für TPL an erster Stelle. Um dies zu gewährleisten, sind wir stolz darauf, vollständig PCI DSS-konform zu sein. Der PCI Security Standards Council hat eine Reihe von Vorschriften erlassen, die Online-Unternehmen einhalten müssen, um die Sicherheit des Online-Shoppings zu gewährleisten. TPL hat alle vom PCI Security Standards Council festgelegten Standards nicht nur erfüllt, sondern sogar übertroffen – wir haben bewiesen, dass unser Sicherheitsmanagement, unsere Sicherheitsrichtlinien, unsere Netzwerkinfrastruktur und unser Softwaredesign geschützt und frei von Schwachstellen sind, die den Online-Handel gefährden könnten.

 Was ist PCI-Compliance? 

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weithin anerkanntes Regelwerk aus Richtlinien und Verfahren, das die Sicherheit von Kredit-, Debit- und Guthabenkartentransaktionen optimieren und Karteninhaber vor dem Missbrauch ihrer persönlichen Daten schützen soll. Der PCI DSS wurde 2004 gemeinsam von vier großen Kreditkartenunternehmen – Visa, MasterCard, Discover und American Express – ins Leben gerufen.

 Der PCI DSS definiert und konkretisiert sechs wesentliche Sicherheitsziele.

 Erstens muss ein sicheres Netzwerk aufrechterhalten werden, in dem Transaktionen durchgeführt werden können. Dazu gehört der Einsatz von Firewalls, die stark genug sind, um effektiv zu sein, aber keine unangemessenen Einschränkungen für Karteninhaber oder Händler verursachen. Spezielle Firewalls stehen für drahtlose Netzwerke (WLANs) zur Verfügung, da diese besonders anfällig für Abhörangriffe und Angriffe durch Hacker sind. Zudem dürfen Authentifizierungsdaten wie persönliche Identifikationsnummern (PINs) und Passwörter nicht als voreingestellte Standardwerte der Anbieter verwendet werden. Kunden sollten in der Lage sein, diese Daten einfach und regelmäßig zu ändern.

 Zweitens müssen Karteninhaberdaten an jedem Speicherort geschützt werden. Datenbanken mit sensiblen Informationen wie Geburtsdaten, Mädchennamen der Mütter, Sozialversicherungsnummern, Telefonnummern und Postanschriften müssen vor Hackerangriffen gesichert sein. Wenn Karteninhaberdaten über öffentliche Netzwerke übertragen werden, müssen sie wirksam verschlüsselt werden. Digitale Verschlüsselung ist für alle Arten von Kreditkartentransaktionen wichtig, insbesondere jedoch für E-Commerce-Geschäfte im Internet.

 Drittens sollten Systeme durch regelmäßig aktualisierte Antiviren-Software, Anti-Spyware-Programme und andere Anti-Malware-Lösungen vor Angriffen durch böswillige Hacker geschützt werden. Alle Anwendungen müssen frei von Fehlern und Sicherheitslücken sein, die potenziell ausgenutzt werden könnten, um Karteninhaberdaten zu stehlen oder zu manipulieren. Sicherheitsupdates und Patches von Software- und Betriebssystemherstellern sollten regelmäßig installiert werden, um ein höchstmögliches Maß an Schutz vor Schwachstellen zu gewährleisten.

 Viertens muss der Zugriff auf Systeminformationen und -operationen eingeschränkt und kontrolliert werden. Karteninhaber sollten ihre Daten nur an Unternehmen weitergeben müssen, wenn diese die Informationen benötigen, um eine Transaktion sicher und ordnungsgemäß durchzuführen. Jede Person, die das System nutzt, muss eine eindeutige und vertrauliche Identifikationsnummer oder einen Benutzernamen zugewiesen bekommen. Karteninhaberdaten müssen sowohl physisch als auch elektronisch geschützt werden. Dazu gehören beispielsweise Aktenvernichter für Dokumente, die Vermeidung unnötiger Papierkopien und der Schutz von Abfallbehältern durch Schlösser und Ketten, um Diebstahl durch das Durchsuchen von Abfällen zu verhindern.

 Fünftens müssen Netzwerke kontinuierlich überwacht und regelmäßig getestet werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen und Prozesse vorhanden, funktionstüchtig und auf dem neuesten Stand sind. Beispielsweise müssen Antiviren- und Anti-Spyware-Programme stets mit den neuesten Definitionen und Signaturen aktualisiert werden. Diese Programme sollten sämtliche übertragene Daten, Anwendungen, den Arbeitsspeicher (RAM) sowie alle Speichermedien regelmäßig oder kontinuierlich scannen.

 Sechstens muss eine formelle Informationssicherheitsrichtlinie definiert, gepflegt und von allen beteiligten Unternehmen jederzeit befolgt werden. Durchsetzungsmaßnahmen wie Audits und Strafen für Nichteinhaltung können erforderlich sein.