|
Welchen Nutzen habe ich, weil QENTA nach PCI zertifiziert ist?
- Durch die Zertifizierung von QENTA entfällt die Zertifizierung beim Unternehmen, da alle betroffenen Teile der Zahlungsabwicklung in Internet-Shops an QENTA ausgelagert werden können. Als Dienstleister zur Akzeptanz von Zahlungsmitteln über das Internet stellt QENTA die entsprechenden Produkte und deren Betrieb zur Verfügung.
Wozu dient der PCI-Standard?
- Der PCI-Standard dient dem Schutz von Kreditkartendaten. Die Umsetzung umfasst technische und organisatorische Maßnahmen. Die Zertifizierung stellt sicher, dass ein unabhängiges Sicherheitunternehmen die Einhaltung des Standards überprüft und bestätigt. Die Überprüfung umfasst vierteljährliche Scans, sowie eine jährliche Vorortüberprüfung. Nur eine solche Zertifizierung wird von Kreditkartengesellschaft als Beweis der Einhaltung des PCI-Standards anerkannt.
Wer unterliegt dem PCI-Standard?
- Jedes Unternehmen, unabhängig von seiner Größe und seinem Umsatz, das Kreditkartendaten verarbeitet bzw. speichert. Die Einhaltung ist in den internationalen Vorschriften der Kreditkartengesellschaften begründet. Neuere Akzeptanzverträge bzw. Beiblätter der Kartengesellschaften verweisen bereits auf die Pflicht zur Einhaltung. Für Unternehmen, die Ihre Verarbeitung und Speicherung sicherheitsrelevanter Daten vollständig an QENTA auslagern, ist eine Zertifizierung nicht nötig, weil QENTA PCI zertifiziert ist.
Was kostet eine PCI (Selbst-)Zertifizierung?
- Das hängt von vielen verschiedenen Faktoren ab (Unternehmensgröße, bestehende Sicherheitsmaßnahmen, Anzahl der gespeicherten Kartendaten etc). Eine einfache Formel dafür gibt es nicht. Vom Beginn bis zum Ende einer erfolgreichen Zertifizierung vergehen nicht selten 1 bis 2 Jahre, allein daraus sind gewisse Kostengrößen ableitbar. Effizienter ist selbst für große Unternehmen die Nutzung eines PSPs.
|
|
Wer schreibt den PCI-Standard vor?
Der Standard wurde von MasterCard und Visa initiiert. Im September 2006 haben sich weitere Kartenorganisationen (wie American Express und JCB) auf die Gründung eines unabhängigen Gremiums, dem PCI Security Standards Council (PCI SSC) geeinigt. Diese Organisation ist nun für die Weiterentwicklung des Standards zuständig.
Ich nutze einen PSP, der nicht PCI zertifiziert ist. Trage ich dennoch ein Risiko?
- Ja. Sie (bzw. Ihr PSP) tragen das gesamte Risiko, das sich aus einem Datendiebstahl ergeben würde. Da PSPs üblicherweise mehrere hunderttausende oder gar Millionen Kartendaten speichern, ist dieses Risiko de facto auch nicht versicherbar.
Ich nutze einen PSP, der mir versichert, demnächst PCI zertifiziert zu sein. Ist dies ausreichend?
- Nein. Auch hier gilt: Sie (bzw. Ihr PSP) tragen das gesamte Risiko, das sich aus einem Datendiebstahl ergeben würde. Verlassen Sie sich nicht auf Zusagen, schon gar nicht rein mündlicher Natur!
Ich bin selbst nicht PCI zertifiziert und nutze keinen PSP. Welches Risiko trage ich?
- Sie tragen das gesamte Risiko, das sich aus einem Datendiebstahl ergeben würde. Der durchschnittliche Missbrauch pro gestohlener Karte liegt bei etwa 2.000 €*. Zusätzlich können noch Ersatzkosten für die Neuausstellung der gestohlenen Kreditkarten hinzukommen sowie alle zusätzlichen Kosten, die den Kreditkartengesellschaften entstehen.
*Quelle: heise Security / 30.12.2006
|
+43 316 / 81 36 81 -0
+43 316 / 81 36 81 -20
