Mehr Sicherheit für Kartenzahler und Händler. Drei Milliarden kartenbasierte Transaktionen gab es im vergangenen Jahr in Deutschland. Jede davon sollte sicher sein. Wie sich Unternehmen und Händler vor Cyber-Angriffen wappnen können, erläutert Günther Froschermeier, Chief Technology Officer der CCV Deutschland.
Warum ist es Kriminellen überhaupt möglich, Kartendaten zu entwenden?
Froschermeier: Meistens nutzen sie Schwachstellen im System aus, zum Beispiel, indem sie Sicherheitslücken in den Unternehmensservern oder der Kassen-Terminal-Infrastruktur aufspüren. Zudem profitieren sie davon, dass Daten teils unverschlüsselt vom Kartenlesegerät an die Kasse übertragen werden.
Welche Gegenmaßnahmen gibt es?
Wir empfehlen eine PCI P2PE-Lösung, die sensible Daten gleich nach der Eingabe sicher verschlüsselt und nicht direkt an das Kassensystem überträgt. Stattdessen werden die Zahlungsinformationen verschlüsselt an ein externes Hardware-Sicherheitsmodul gesendet und erst von dort an die Bank zur Autorisierung übergeben. Selbst für den Händler bleiben sie deshalb völlig unsichtbar, weshalb er auch größtenteils nicht mehr dafür verantwortlich ist, dass die Kartenzahlung sicher und reibungslos funktioniert. Diese Aufgabe übernimmt der Anbieter der Lösung, der sogenannte Solution Provider.
„Aufgrund der einzuhaltenden Sicherheitsstandards müssen Unternehmen sehr strenge Auflagen erfüllen, bevor sie sich P2PE-zertifizierter Solution Provider nennen dürfen.“ Günther Froschermeier, Chief Technology Officer der CCV Deutschland
Bietet eine P2PE-Lösung weitere Vorteile?
Die POS- bzw. POI-Terminals sind bei PCI P2PE so standardisiert, dass sie mehrere Sprachen und Währungen sowie Banken weltweit unterstützen. Dadurch lassen sich den Konsumenten zahlreiche nationale und internationale Zahlungsarten offerieren, was natürlich den Umsatz fördert. Dank der Verschlüsselung ist es ihnen sogar möglich, über eigentlich unsichere mobile Geräte zu bezahlen. Händler sind dabei dennoch nicht an einen Acquirer gebunden, sondern dürfen diesen frei wählen. Weiterhin kann P2PE Zeit und Kosten bei der Zertifizierung für den „Payment Card Industry Data Security Standard“ (PCI DSS) sparen, da die Netzinfrastruktur, das Kassensystem und die Peripherie des Händlers nicht mehr geprüft werden müssen und keine zusätzlichen Sicherheitsmaßnahmen wie VPN, Netzwerksegmentierung, Scans oder Penetrationstests notwendig sind. Händler haben zudem bei der obligatorischen Selbstbeurteilung nur noch 33 statt der sonst üblichen maximal 320 Fragen zu beantworten.
An wen richtet sich P2PE generell?
P2PE ist vor allem für Händler mit einem weit verzweigten Filialnetz interessant, die sich die PCI-DSS-Zertifizierung erleichtern und ihren Kunden größtmögliche Sicherheit gewähren wollen.
Was Händler über PCI wissen müssen:
- Was ist PCI? PCI steht für Payment Card Industry. Unter diesem Begriff finden sich verschiedene Sicherheitsprogramme, welche den Schutz von Zahlkartendaten erhöhen und sicherstellen sollen.
- Ist PCI für mich als Händler wichtig? Ja, wenn Sie ein Zahlterminal verwenden. PCI DSS (Payment Card Industry Data Security Standard) richtet sich weltweit an alle Unternehmen, welche Zahlkartendaten übermitteln, verarbeiten oder speichern.
- Wer setzt die PCI-Standards um? Die Kartenverarbeiter (Acquirer) sind verantwortlich für die Umsetzung der PCI-Standards.
- Kann/muss ich als Händler etwas tun? Ihr Terminalanbieter stellt die Software-Updates auf Ihrem Zahlterminal sicher. Sollte Ihr Zahlterminal ein älteres Modell sein, kann es sein, dass Updates nicht mehr ausgeführt werden können. In diesem Fall müssen Sie das Terminal ersetzen.
