Pago Security Support umfasst professionelle Sicherheitszertifizierungen von MasterCard und Visa, mit denen der Diebstahl und der Missbrauch von Kreditkartendaten vermieden werden sollen.

Zu Beginn des Jahres 2005 konnten sich die führenden Kreditkartenorganisationen nun auch auf gemeinsame Sicherheitsanforderungen, den Payment Card Industry [PCI] Data Security Standard verständigen. Hierin sind die gemeinsamen Prüfprozesse, Dokumentations- und Sicherheitsanforderungen der Kartenorganisationen definiert. PCI ermöglicht damit für die Zukunft eine einheitliche Vorgehensweise bei der Umsetzung der geforderten Sicherheitsanforderungen aller Kreditkartenorganisationen.

Es ist unstrittig, dass Sicherheitsüberprüfungen nicht als einmalige Aktion verstanden werden können, sondern einen fortlaufenden Prozess beschreiben müssen. Deshalb sind – abhängig von der Art und Größe des Geschätftsbetriebs – regelmäßige Nachzertifizierungen erforderlich, die gewährleisten, dass der einmal erreichte Sicherheitsstandard beibehalten und dem Stand der Technik angepasst wird.

Diese Standards richten sich an Acquirer, Payment Service Provider, Data Storage Entities und Online-Händler, die Kreditkartenzahlungen im Internet anbieten. Nachstehend finden Sie weitere Informationen und die Antoworten auf die am häufigsten gestellten Fragen dazu (Dieses FAQ finden Sie auch auf der rechten Seite unter "Dokumente" zum Download).

1.1 Was ist der Payment Card Industry [PCI] Data Security Standard?

Die Kreditkartenorganisationen haben einen für beide Zahlungssysteme einheitlichen, globalen Prüfungsstandard entwickelt. Dieser trägt die Bezeichnung „Payment Card Industry (PCI) Data Security Standard”. Die Programme von MasterCard (SDP) und Visa (AIS) bleiben weiterhin bestehen, jedoch umfasst der PCI-Standard die Prüfungsanforderungen beider Programme.

1.2 Was ändert sich mit dem neuen Prüfungsstandard PCI?

PCI steigert die Effizienz im Zertifizierungsprozess durch eine Vereinheitlichung der Sicherheitsanforderungen der beiden führenden Kreditkartenorganisationen für Händler und Service Provider.

1.3 Wozu dienen die Programme AIS (Visa) und SDP (MasterCard)?

Händler und E-Commerce-Händler haben in den letzten Jahren massive Reputationsschäden dadurch erlitten, dass Fälle bekannt wurden, in denen Daten von Karteninhabern ausgespäht und teilweise später betrügerisch eingesetzt wurden. Die Programme AIS [Account Information Security] und SDP [Site Data Protection] helfen Händlern und Payment Service Providern, die Kartendaten auf eigenen Systemen speichern, verarbeiten oder weiterleiten, eventuelle Sicherheitslücken in den eigenen Systemen zu identifizieren und mögliche Folgeschäden abzuwenden.

1.4 Werden alle Acquirer ihre Händler und Service Provider gemäß der Regularien und Richtlinien der Kreditkartenorganisationen zertifizieren lassen?

Nicht nur Händler, sondern auch die Kreditkartenorganisationen selber und vor allem die Kreditkarteninhaber tragen die zum Teil erheblichen Folgen aus der missbräuchlichen Nutzung ausgespähter Kreditkartendaten. Die Zertifizierung wird deshalb mittlerweile von den Kreditkartenorganisationen zwingend für alle Acquirer, deren Händler und Service Provider vorgeschrieben. Die Acquirer stehen in der Verpflichtung, alle Händler und Service Provider und deren Zertifizierungsstatus bei MasterCard und Visa zu registrieren.

1.5 Ist der Händler bzw. Service Provider verpflichtet, einen von Pago ausgewählten Dienstleister für die Zertifizierung zu beauftragen?

Der Händler bzw. Service Provider kann für die Zertifizierung jeden Dienstleister beauftragen, der von beiden Kreditkartenorganisationen zugelassen ist. Eine Auflistung der von MasterCard akkreditierten Security Vendors finden Sie hier.

Eine Übersicht über die von Visa zugelassenen Qualified Security Assessors finden Sie hier.

Unser Partner, die SRC Security Research & Consulting GmbH in Bonn, ist von beiden Organisationen für die entsprechende Zertifizierung zugelassen.

1.6 Warum sollte ich als Händler bzw. Service Provider die Zertifizierung durchführen lassen?

Händler bzw. Service Provider haften für Schäden, die ein Diebstahl vertraulicher Kartendaten aus ihrem Verantwortungsbereich verursacht. Mit der erfolgreichen Zertifizierung wird nachgewiesen, dass das Sicherheitsniveau des Händlers bzw. des Service Providers den Standards der Kartenorganisationen entspricht. In diesem Fall können die Folgeschäden von den Kartenorganisationen übernommen werden.

1.7 Warum bin ich als Händler und Service Provider verpflichtet, an der Zertifizierung teilzunehmen?

Händler und Service Provider können durch fahrlässigen Umgang mit Kreditkartendaten nicht nur sich selbst, sondern auch die beteiligten kartenherausgebenden Banken, die Kreditkartenunternehmen und ihre Kunden, die Karteninhaber schädigen. Zum Schutz aller Parteien wurde die verpflichtende Teilnahme an den Sicherheitsprogrammen in die verbindlichen Regularien der Kreditkartenorganisationen aufgenommen. Aus den gleichen Gründen wurde die Teilnahme an den Sicherheitsprogrammen verpflichtend in den Kreditkartenakzeptanz-Vertrag mit Pago aufgenommen.

1.8 Was geschieht, wenn Händler bzw. Service Provider, die Zertifizierung nicht durchführen können oder wollen?

Die Vernachlässigung der Pflicht zur Zertifizierung ist eine ernste Verletzung der Verpflichtungen aus dem Händlervertrag, die eine außerordentliche Kündigung nach sich ziehen kann.

1.9 Was passiert , wenn im Rahmen des Assessments die Anforderungen zur Zertifizierung nicht erfüllt werden?

Ziel des Assessments ist es, zunächst mögliche Mängel zu identifizieren. Im Nachgang werden geeignete Maßnahmen zur Behebung der Mängel vorgeschlagen und ein verbindliches Zeitfenster für die Nachbesserung definiert. Bei geringen Mängeln wird die Nachbesserung in die Verantwortung des Händlers bzw. des Service Providers gelegt. Bei gravierenden Mängeln ist eine erneute Prüfung im Anschluss an die Nachbesserung erforderlich.

2.1 In welcher Form wird ein Zertifikat vergeben? Welche Zertifikate gibt es?

Die Ausgabe des Zertifikats erfolgt schriftlich durch den beauftragten MasterCard Security Vendor bzw. Visa Qualified Security Assessor.

2.2 Wie lange ist ein erworbenes Zertifikat gültig?

Datensicherheit ist ein fortlaufender Prozess. Deshalb ist es sinnvoll, dass Händler und Service Provider regelmäßig ihre Organisationsprozesse, die Zugangs- und Protokollsysteme, die Kommunikations- und Dateninfrastruktur sowie das Entwicklungs- und Sicherheitsmanagement entsprechend der gegebenen Anforderungen überprüfen lassen. Umfang und Häufigkeit der Maßnahmen zum Erhalt des Zertifikats werden in Abhängigkeit von der Art und dem Umfang des Geschäftsbetriebs des Händlers oder Service Providers klassifiziert.

2.3 Wie wird Pago über den Erwerb eines Zertifikats informiert?

Für den Zertifizierungsprozess hat Pago sich für die Zusammenarbeit mit SRC in Bonn entschieden. Ungeachtet der Auswahl ihres bevorzugten MasterCard Security Vendors oder Visa Qualified Security Assessors ist in jedem Fall die Registrierung bei SRC unter Angabe der beauftragten Zertifizierungsstelle erforderlich. SRC informiert Pago dann über den erfolgreichen Abschluss der Zertifizierung.

2.4 Wie wird ein Händler bzw. Service Provider über den Status der Zertifizierung informiert?

SRC überwacht den Zertifizierungsstatus aller registrierten Händler und Service Provider und informiert diese rechtzeitig über anstehende Maßnahmen zur Erlangung oder Verlängerung des Zertifikats.

2.5 Wo können sich Händler und Service Provider bei den Kreditkartenorganisationen zum Thema „Zertifizierung“ informieren?

Visa Europe und MasterCard International haben auf Ihren Webseiten umfassende Informationen zu den Sicherheitsprogrammen veröffentlicht:

> Dokumente Visa Europe

> Dokumente MasterCard International

2.6 Welche Unternehmen sind berechtigt, die Zertifizierung durchzuführen?

> Von MasterCard akkreditierte Security Vendors

> Von Visa zugelassenen Qualified Security Assessors

3.1 Wie kann ich mein Unternehmen zertifizieren lassen?

Als Händler oder Payment Service Provider registrieren Sie sich am einfachsten Online bei SRC. Aus dieser Registrierung ergeben sich alle weiteren Schritte.

3.2 Wozu dient die Registrierung?

Um den Aufwand der Zertifizierung in ein angemessenes Verhältnis zum Risiko zu setzen, werden alle Händler und Service Provider auf Basis der Registrierungsinformationen entsprechend ihrer Wertschöpfung und dem daraus abgeleiteten Risikopotenzial klassifiziert. Gemäß der Registrierungsinformationen ergeben sich dann nach dem Payment Card Industry Data Security Standard die weiteren Prüfungsschritte.

3.3 Wie aufwändig ist die Registrierung?

Die Registrierung besteht aus der Beantwortung eines kompakten Fragebogens. Die Bearbeitung dauert ca. 15 Minuten.

3.4 In meinen Systemen werden keine vertrauliche Kartendaten verarbeitet oder gespeichert. Muss ich mich trotzdem zertifizieren lassen?

Wenn die Kartendaten ausschließlich durch einen Service Provider verarbeitet und gespeichert werden, ist für den Händler in der Regel mit der Registrierung der Zertifizierungsprozess abgeschlossen.

3.5 Der Händler nutzt einen oder mehrere Service Provider für den Betrieb seiner Plattform. Müssen alle Service Provider einzeln registriert werden?

Jede Kette ist nur so stark, wie ihr schwächstes Glied. Mit der Einbindung jeder zusätzlichen Partei steigt deshalb auch für den Händler/Service Provider das Risiko, durch fahrlässigen Umgang mit sensiblen Daten durch einen Dritten Schaden zu erleiden. Drittanbieter müssen sich deshalb in der Regel selbst registrieren und zertifizieren lassen. In jedem Fall sollten Sie als Händler oder Service Provider (PSP) Drittanbieter zusätzlich vertraglich zur Einhaltung der vorgeschriebenen Sicherheitsstandards verpflichten.

3.6 Wie läuft für Händler/Service Partner der Zertifizierungsprozess ab?

Die Zertifizierung ist modular aufgebaut und kann – abhängig von der Wertschöpfungstiefe bzw. vom Geschäftsprozess und dem Risikoprofil des Händlers – bis zu 4 Teilprüfungen erfordern, um die Sicherheit des Systems zu prüfen:

a) Registrierung

b) Ausfüllen des Online-Fragebogens zur Selbsteinschätzung (PCI Self-Assessment Questionnaire)

c) Kontrollierte Überprüfung der Internetanbindung des Händlers mit Hilfe spezieller Werkzeuge über das Internet (Security Scan)

d) Durchführung einer Vor-Ort-Untersuchung beim Händler (Security Audit)

3.7 Wie lange dauert eine Zertifizierung?

Die Dauer der Zertifizierung hängt von den Gegebenheiten bzw. der technischen Infrastruktur und der Größe des Händlers ab. Die Registrierung dauert ca. 15 Minuten, das Ausfüllen des Fragebogens zur Datensicherheit erfordert ca. eine Stunde.

3.8 Wie genau verläuft der Prozess der Zertifizierung? Wie erfährt der Händler über die Ergebnisse der einzelnen Schritte im Rahmen des Assessments?

Bei Zertifizierung über die SRC kann der aktuelle Status bei SRC online eingesehen werden. Über den Abschluss eines Prüfungsabschnitts und die nächsten Schritte wird der Händler/Service Partner aktiv von SRC informiert.

3.9 Welche Zertifizierungsmaßnahmen schreiben die Kreditkartenorganisationen vor? Bis wann ist die Zertifizierung abzuschließen?

Visa und MasterCard machen unterschiedliche Vorgaben für Händler und Service Provider und differenzieren innerhalb dieser Gruppen nach Art und Größe des Geschäftsbetriebs. Hinter den nachstehenden Links finden Sie die Kriterien und die notwendigen Prüfungen.

> Anforderungen für Acquirer, Payment Service Provider und Data Storage Entities

> Anforderungen für Online-Händler

3.10 Wie werden meine Systeme über das Internet überprüft?

Der MasterCard Security Vendor oder Visa Qualified Security Assessor untesucht die Architektur und Konfiguration der Internet-Anbindung auf Schwach-stellen, die ein Angreifer für Einbrüche in das System nutzen könnte. Das System wird dabei aus dem Internet mit Hilfe von Security-Scannern und manuellen Zugriffen angesprochen und auf mögliche Schwächen hin untersucht.

3.11 Kann der Zeitpunkt der Scans abgesprochen werden?

Ja, der Zeit- und Aktionsplan für die Durchführung der Scans kann in der Regel mit dem MasterCard Security Vendor oder Visa Qualified Security Assessor abgestimmt werden.

3.12 Wird durch den Scan ein Einbruchsversuch auf meinen Systemen vorgenommen?

Bei der durch SRC angewandten Scan-Methode wird nicht in das Zielsystem eingedrungen, sondern es wird lediglich versucht, die Informationen zu erhalten, die zum Eindringen in das Zielsystem benötigt würden (Network Scan).

3.13 Bis wann müssen Schwachstellen beseitigt sein?

Sofern die Prüfung Sicherheitsdefizite in den Systemen aufdeckt, sollte der Händler vor allem im eigenen Interesse Nachbesserungen unverzüglich umsetzen.

4.1 Welche Kosten entstehen insgesamt?

Kosten entstehen aus der Registrierung des Zertifizierungsstatus bei MasterCard und den eigentlichen Leistungen für das Security Assessment.

Die Registrierung bei Visa und MasterCard wird Pago nach erfolgreicher Zertifizierung durchführen. MasterCard fordert eine Zertifizierungsgebühr von 200 USD, für alle diejenigen Händler, die in ihren eigenen Systemen vertrauliche Kreditkartendaten speichern und/oder verarbeiten.

Die Registrierung bei Visa ist kostenlos.

4.2 Wie wird die Zertifizierungsgebühr abgerechnet?

Pago wird nach Registrierung des Zertifizierungsstatus bei MasterCard die Zertifizierungsgebühr im Rahmen der Händlerabrechnung weiter belasten.

4.3 Wann werden die Gebühren für das Security Assessment fällig und wie erfolgt die Abrechnung?

Die Abrechnung der Leistungen aus dem SRC-Zertifizierungsprozess erfolgt über Pago eTransaction Services GmbH im Namen und auf Rechnung von SRC, Bonn. Die Kosten werden mit der Pago-Transaktionsrechnung in dem Monat belastet, der dem Abschluss einer Teilleistung folgt.

Bei der Beauftragung anderer MasterCard Security Vendor oder Visa Qualified Security Assessors rechnen diese gemäß ihrer eigenen Geschäftsbedingungen direkt mit dem Händler oder Service Provider ab.

4.4 Wer beauftragt den Dienstleister zur Durchführung der Zertifizierung?

Auswahl und Beauftragung eines Dienstleisters erfolgt direkt durch den Händler. Bei SRC wird im Rahmen des Registrierungsprozesses ein Bestellformular generiert, das zur Beauftragung von SRC für die erforderlichen Zertifizierungsmodule dient.

4.5 Wie sind die von Pago beschriebenen Leistungspakete von SRC zu verstehen?

Die Pakete entsprechen den von den Kreditkartenorganisationen zur Zertifizierung vorgeschriebenen Modulen. Die Prüfungen werden vom Händler mit einem Bestellformular ggf. auch einzeln beauftragt.

4.6 Welche Kosten entstehen durch die Zertifizierung?

Die Angebote können sich von Anbieter zu Anbieter unterscheiden.

SRC bietet zur Zertifizierung ab dem 1. Mai 2005 folgende Leistungspakete und Konditionen an (alle Preise zzgl. MwSt.):

Paket für Händler Level 4: EUR 1.025

	Unterstützung bei Beantwortung und Analyse des Online-Fragebogens: kostenlos
	Einmaliger Sicherheits-Scan: EUR 1.025

Paket für Händler Level 2 und 3 und Service Provider Level 3: EUR 2.600

	Unterstützung bei Beantwortung und Analyse des Fragebogens: kostenlos
	4-maliger Sicherheits-Scan pro Jahr: EUR 650 je Scan

Paket für Händler Level 1 und Service Provider Level 1 und 2: EUR 9.625 für 1 Jahr (22.875 EUR für 3 Jahre)

	Unterstützung bei Beantwortung und Analyse des Fragebogens: kostenlos
	4-maliger Sicherheits-Scan pro Jahr: EUR 650 je Scan
	Durchführung Security Audit einmal pro Jahr: EUR 7025 im ersten Jahr, je EUR 4025 für die nachfolgenden Jahre. Der Preis für die Durchführung eines Security Audits (einschließlich Security Scans) versteht sich für die Begehung an einem Standort.

Die Kalkulation der Preise für eine Dauer von 3 Jahren setzt voraus, dass keine erheblichen Änderungen der zu untersuchenden Infrastruktur vorgenommen wurden. Dieses ist im Einzelfall zwischen dem Händler und SRC zu klären.

Die genannten Preise gelten für die Durchführung von Security Scans für bis zu 8 IP Adressen. Der Scan-Preis für je weitere 12 IP Adressen beträgt EUR 525.

Die Leistungen schließen eine Stunde Beratung sowie eine Betreuung des Händlers an normalen Werktagen in der Zeit von 9:00-17:00 Uhr CET ein. Für weiter reichende Beratungsleistungen stehen Ihnen die Experten von SRC zu einem Stundensatz von EUR 151,-- zzgl. Reisekosten und Spesen zur Verfügung. (Reisezeiten werden zu EUR 98,50 pro Stunde in Rechnung gestellt.).

4.7 Wie werden die Leistungen aus einem Paket abgerechnet?

Im Rahmen des Zertifizierungsprozesses wird jede erbrachte Leistung einzeln und nach Inanspruchnahme abgerechnet.

 Direkt zur Online-Registrierung bei unserem Partner SRC