SIHOT.PCI

„Kreditkarten und Ihre Datensicherheit“

DATENSICHERHEIT

PCI-PA-DSS Kompatibilität

„PCI Compliance“ ist ein wichtiges Stichwort. Man versteht darunter die Einhaltung des global verbindlichen Sicherheitsstandards der weltweit größten Kreditkarteninstitute. PCI-PA-DSS steht für „Payment Card Industry (PCI) Payment Application (PA) Data Security Standard (DSS)“. Hierbei handelt es sich um ein Regelwerk mit konkreten Handlungsanweisungen für Händler und Provider, die mit Kreditkarten arbeiten oder Kreditkartendaten verarbeiten. Hauptziel ist die Sicherheit im Umgang mit den Kundendaten, um so dem Datendiebstahl und Kreditkartenbetrug vorzubeugen.

Die Einhaltung der Standards liegt nicht nur im Interesse Ihrer Kunden, sie ist auch aus wirtschaftlichen Gründen wichtig: Unternehmen, die Kreditkartendaten speichern, können mit Geldbußen belegt werden. Die Anforderungen an den Datensicherheitsstandard sind in zwölf PCI-PA-DSS-Anforderungen mit entsprechenden Unterpunkten festgelegt.

AUSWIRKUNGEN AUF SIHOT

Von den zwölf PCI-PA-DSS-Anforderungen haben fünf direkte Auswirkungen auf SIHOT. Diese sind:

  • Anforderung 3: Schutz gespeicherter  Karteninhaberdaten
  • Anforderung 4: Verschlüsselung bei der  Übertragung von Karteninhaberdaten  über offene, öffentliche Netze
  • Anforderung 7: Beschränkung des Zugriffs  auf Karteninhaberdaten je nach geschäftlichem  Informationsbedarf
  • Anforderung 8: Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
  • Anforderung 9: Beschränkung des physischen  Zugriffs auf Karteninhaberdaten

Schutz der Karteninhaberdaten

Der Schutz der Kartendaten bedeutet einerseits, dass Kartendaten so wenig und so kurz wie möglich gespeichert werden und die Zugriffe so restriktiv wie möglich gehandhabt werden. Andererseits müssen die gespeicherten Daten immer verschlüsselt gespeichert werden. In SIHOT.PMS werden die Kreditkartennummer sowie das Gültigkeitsdatum für die Dauer einer Transaktion (beginnend mit der Reservierung bis zur Abrechnung) gespeichert. Die CVC-Nummer wird nicht gespeichert. Nach Ende der Transaktion werden die Daten gelöscht.

Die Speicherung der Daten für die Dauer einer Transaktion erfolgt in der Datenbank verschlüsselt mittels AES-Algorithmus. An keiner Stelle des Systems wird eine komplette Kreditkartennummer ausgegeben.

Datenübertragung

Von Seiten SIHOT.PMS erfolgt keine Übermittlung vertraulicher Karteninhaberdaten über öffentliche Netzwerke. Zur Vorautorisierung bzw. Zahlung mittels Online-Payment übergibt SIHOT.PMS die notwendigen Daten innerhalb des lokalen Netzes oder auf dem gleichen Server (je nach Anbieter) an den Electronic-Payment-Anbieter, welcher gemäß PCI-Standard die Verschlüsselung der vertraulichen Karteninhaberdaten bei der Übertragung über öffentliche Netze sicherstellen muss.

Zugriffsrechte

Der Zugriff auf Karteninhaberdaten wird in SIHOT.PMS anhand der Benutzerrechteverwaltung gesteuert. Für die Anmeldung an SIHOT.PMS muss jeder Anwender eine eindeutige Benutzerkennung und ein Passwort eingeben. Die Passwörter unterliegen strikten Vorgaben zur Mindestlänge, der Gültigkeitsdauer und weiteren Sicherheitsfaktoren.

SIHOT.PCI