Der Visa Member Letter: EU 06/05 – Account Information Security Programme Update sowie das MasterCard Global Security Bulletin No. 12, 15 December 2004 bzw. No. 1, 14 January 2005 legen die Zertifizierungsanforderungen und Fristen der Kreditkartenorganisationen für Händler fest:

Level 1:

Kriterien:

Händler mit über 6.000.000 Transaktionen pro Jahr – unabhängig vom Vertriebskanal (E-Commerce, MOTO, POS)

Händler mit erfolgtem Hackerangriff / Datenmissbrauch.

Händler, die nach Ermessen von MasterCard oder Visa als Level I-Händler eingestuft werden.

Händler, die von anderen KKOs als Level I-Händler identifiziert wurden

Anforderungen:

Jährliche Sicherheitsbegehung (Security Audit) und quartalsweise Netzwerk Untersuchung (Security Scan)

Frist:

Abschluss der Zertifizierung bis zum 30. Juni 2005

Level 2:

Kriterien:

E-Commerce-Händler mit 150.000 bis 6.000.000 Transaktionen pro Jahr

Anforderungen:

Jährlicher PCI Selbstauskunfts-Fragebogen und quartalsweise Netzwerk Untersuchung (Security Scan)

Frist:

Abschluss der Zertifizierung bis zum 30. Juni 2005

Level 3:

Kriterien:

E-Commerce-Händler mit 20.000 bis 150.000 Trans-aktionen pro Jahr

Anforderungen:

Jährlicher PCI Selbstauskunfts-Fragebogen und quartalsweise Netzwerk Untersuchung (Security Scan)

Frist:

Abschluss der Zertifizierung bis zum 30. Juni 2005

Level 4:

Kriterien:

Alle anderen Händler– unabhängig vom Vertriebskanal (E-Commerce, MOTO, POS)

Anforderungen:

Jährlicher PCI Selbstauskunfts-Fragebogen und jährliche Netzwerk Untersuchung werden empfohlen

Frist:

Eine Zertifizierung ist nicht verpflichtend, wird aber dringend empfohlen

Händler, die bereits nach den Sicherheitsstandards Account Information Security [AIS] der Visa und Site Data Protection [SDP] der MasterCard zertifiziert sind, behalten bis zum 1. Januar 2006 ihren Status. Ab diesem Zeitpunkt muss jeder Händler dem Payment Card Industry [PCI] Data Security Standard Rechnung tragen.

Händler, die derzeit nicht zertifiziert sind, sollten unverzüglich die entsprechenden Maßnahmen einleiten, um innerhalb der oben genannten Fristen die erforderliche Zertifizierung zu erhalten.

Auch Level-4-Händlern wird dringend empfohlen eine Zertifizierung durchführen zu lassen. Somit ist ein sicherer Umgang mit Karten- und Transaktionsdaten gewährleistet, der eine Minimierung der Finanz- und Reputationsrisiken sicherstellt.

Pago empfiehlt in diesem Zusammenhang die Zusammenarbeit mit der SRC Security Research & Consulting GmbH als Security Vendor bzw. Qualified Security Assessor.