PCI-Compliance betrifft nicht nur Kreditkarten

Verarbeiten Unternehmen Kreditkartendaten, müssen sie die PCI-Vorschriften (Payment-Card-Industry) beachten. Seit diesem Jahr müssen dazu auch Web-Anwendungen geschützt sein.

Um die Verarbeitung von Kreditkartendaten zu schützen, haben sich verschiedene Kreditkartenahbieter wie American Express, Mastercards oder Visa im PCI Security Standards Council zusammengeschlossen. Deren Vorschriften betreffen alle Bereiche eines Unternehmens, wenn es Kreditkartendaten verarbeitet. Dieser Kreis ist deutlich größer als sich allgemein vermuten lässt, gibt der Sicherheits-Hersteller Art of Defence zu bedenken. Hinzu kommt, dass seit diesem Jahr auch Web-Applikationen für eine PCI-Compliance überprüft werden müssen.

Die PCI-Vorgaben verlangen seit diesem Jahr, dass alle Web-Applikationen jährlich überprüft werden müssen, auf die sich vom Internet aus zugreifen lässt. Eventuell gefundene Schwachstellen müssen beseitigt werden. Wird eine Web-Application-Firewall eingesetzt, entfällt diese Untersuchung. Deren Verwendung ist aber nicht nur aus diesem Grund empfehlenswert. So beobachtet Art of Defence, dass automatische Angriffe auf Online-Shops zunehmen.

Werden die PCI-Vorschriften nicht erfüllt, kann dies finanzielle Folgen haben: Dies können Vertragszahlungen an die Bank oder Geldbußen sein, vom PCI-Council verhängt.

»Kreditkarteninformationen werden nicht nur bei einer klassischen Zahlungsabwicklung mit der Kreditkarte erhoben«, so Dr. Georg Heß, Geschäftsführer bei Art of Defence. Auch wenn ein Call-Center sensible Kreditkartendaten erhebt, gelten die PCI-Vorgaben. Ein anderes Beispiel ist, wenn die Kreditkartennummer als Identifizierungsmerkmal für eine Kampagne zum Einsatz kommt. Auch beim Einsatz eines externen Dienstleisters für die Kreditkartenabrechnung, ist das Unternehmen für die gespeicherten Daten in der Pflicht.