- Anzeigen -

Einhaltung aller PCI DSS-Sicherheitskriterien


PCI-Compliance überprüfen und sich zertifizieren lassen
PCI DSS-Compliance: Die ConCardis PCI-Plattform ist ab sofort online


Anzeige

(22.10.09) - Die von ConCardis initiierte Internet-Plattform für den Sicherheitsstandard PCI DSS ist nach erfolgreich absolvierter Testphase jetzt einsatzbereit. ConCardis unterstützt hiermit seine Kunden und Partner bei der einfachen Umsetzung der geforderten Sicherheitsstandards und der bequemen PCI-Zertifizierung.

Ab sofort können ConCardis-Händler auf der Website von ConCardis gemäß den Vorgaben der Kartenorganisationen ihre PCI-Compliance überprüfen und sich zertifizieren lassen. Die Webseite, die auch ausführliche Informationen über die einzuhaltenden Auskunfts- und Dokumentationsprozesse enthält, wurde von ConCardis in Kooperation mit dem IT-Beratungshaus usd.de AG (autorisierter PCI-Zertifizierer) entwickelt. Für Fragen stehen kompetente Ansprechpartner telefonisch und per Mail zur Verfügung.

Die "Payment Card Industry Data Security Standards" - kurz PCI DSS - sind die weltweit gültigen Sicherheitsstandards der führenden internationalen Kreditkartenorganisationen. Sie enthalten verbindliche Regeln für alle Unternehmen, die Kartendaten akzeptieren, verarbeiten, speichern oder weiterleiten, um die Daten besser vor Missbrauch und Diebstahl zu schützen.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Je nach Umfang ihrer jährlichen Kartentransaktionen müssen Händler unterschiedliche externe und interne Prüfungen durchführen, um die Einhaltung aller PCI DSS-Sicherheitskriterien, die sogenannte PCI-Compliance, nachweisen zu können. Dabei wird die Netzwerkarchitektur der Unternehmen ebenso untersucht wie der Umgang mit kritischem Datenmaterial durch die Mitarbeiter.

Alle Händler und auch Dienstleister, wie z. B. Hotels und Restaurants mit Kartenakzeptanz, müssen PCI-compliant und unter bestimmten Umständen PCI-zertifiziert sein. Bei Nichterfüllung drohen in Fällen von Missbrauch oder dem Verlust von Kartendaten hohe Geldstrafen und kostspielige Klagen. Zudem kann ein bekannt gewordener Datendiebstahl dem Ansehen des Unternehmens nachhaltig schaden - was oft mit entsprechenden Umsatzeinbußen verbunden ist.

Die PCI-Zertifizierung umfasst zwölf zentrale Anforderungen - von der Einrichtung einer Firewall über Zugriffspolitiken bis hin zu regelmäßigen Tests der Sicherheitssysteme. Händler und Dienstleister bestimmter Kategorien werden sogenannten "Security Scans" unterzogen, um Schwachstellen in Architektur und Konfiguration der untersuchten Systeme aufzudecken, die ein Angreifer ausnutzen könnte, um Kreditkartendaten zu kompromittieren. Die Systeme werden dabei über das Internet mit Hilfe von Security Scannern überprüft.

"Es ist uns wichtig, unseren Kunden und Partnern mit der ConCardis PCI-Plattform jetzt eine bequeme und kostengünstige Alternative anbieten zu können, um die Sicherheit ihrer Zahlungssysteme gemäß PCI DSS nachhaltig überprüfen und zertifizieren zu lassen", so Manfred Krüger, Vorsitzender der Geschäftsführung der ConCardis GmbH. "Dies ist ein weiteres zentrales Element unseres umfassenden Service-Angebots, um durch höhere Datensicherheit das Vertrauen in die Kreditkartenzahlung zu stärken."

Das Thema "Sicherheit im bargeldlosen Zahlungsverkehr" hat für ConCardis höchste Priorität - sowohl im Präsenzgeschäft als auch im Bereich Fernabsatz. Rund um PCI DSS hat das Unternehmen ein umfassendes Betreuungs- und Beratungsangebot für Kunden und Partner aufgesetzt und erst kürzlich zusammen mit ibi research den Leitfaden "PCI: Der richtige Umgang mit Kreditkartendaten" veröffentlicht. (ConCardis: ra)

ConCardis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

 
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


- Anzeigen -


Meldungen: Überwachung & Analyse

Risikoanalyse: Sicherheitslücken schließen Varonis Systems stellte eine "Expressversion" ihrer Risikoanalyse für unstrukturierte Daten vor. Der kostenfreie Service ist für gängige Umgebungen verfügbar und richtet sich an Unternehmen, die in potenziell problematischen Bereichen mehr Transparenz brauchen. Ziel ist es, Bereiche zu quantifizieren und zu priorisieren, in denen sensible Daten möglicherweise gefährdet sind. Unternehmen speichern wichtige und sensible unstrukturierte Daten auf ihren Datei- und E-Mail-Servern sowie im Intranet. Diese Daten wachsen exponentiell und nicht selten fällt es schwer, mit dieser Geschwindigkeit Schritt zu halten. Das heißt, die korrekten Zugriffsrechte zu vergeben, die Nutzung der Daten zu überwachen, die Unternehmensstrategie entsprechend auszurichten und die jeweilige Relevanz für Geschäftsprozesse zu analysieren.

Beim Prozess-Outsourcing kein Risiko eingehen Das Outsourcing von verschiedenen Unternehmensprozessen wie zum Beispiel den Bankgeschäften kann Risiken bergen. Um diese zu analysieren und beseitigen, empfiehlt sich eine klare Definition der relevanten Aktivitäten und Prozesse sowie Organisationseinheiten. Die Carmao GmbH unterstützt Unternehmen als Risikomanager dabei, die Aufgaben des Auslagerungsbeauftragten zu überwachen. Dazu hat die Spezialistin für risikoorientiertes Informations-Management ein Konzept entwickelt, das auf den "Mindestanforderungen an das Risikomanagement" (MaRisk) in der Kreditwirtschaft basiert.

Orientierung bei der Sicherheit der Daten Was kann, soll oder muss ein Unternehmen in Sachen IT-Compliance tun? Wie schützt man seine Unternehmensdaten dauerhaft gegen fremden Zugriff, ohne dabei das Tagesgeschäft zu beeinträchtigen? Was verlangt der Gesetzgeber? Schlummert irgendwo eine Gefahr, von der niemand etwas ahnt? - Auf solche Fragen hat die S&L ITcompliance GmbH eine umfassende Antwort gefunden. Mit "Compliance as Service", kurz "Compass", haben die IT-Spezialisten aus Mülheim-Kärlich ein Komplettpaket für den Schutz von geschäftsrelevanten Daten zusammengestellt. Der besondere Vorteil: Der Kunde erhält alles aus einer Hand.

Bonitätsprüfung durchführen und GwG beachten Für Unternehmen, die gemäß Geldwäschegesetz (GwG) verpflichtet sind, den wirtschaftlich Berechtigten zu identifizieren, bietet die Wirtschaftsauskunftei Creditsafe Deutschland diese Information als Standard in ihren Wirtschaftsauskünften an. Creditsafe-Kunden benötigen somit kein gesondertes Auskunftsprodukt zur Ermittlung des wirtschaftlich Berechtigten.

Compliance zum Verbraucherschutz Für Unternehmen des Online-Handels bietet TÜV Rheinland die neue Dienstleistung "Certify your Online Shop". Im Rahmen dieses Services prüft TÜV Rheinland Onlineshops und verleiht nach erfolgreichem Audit das Zertifikat und Siegel "Certified Online Shop". Bei dem Prüfverfahren durchläuft das Unternehmen verschiedene Kategorien mit dem Fokus auf Sicherheit, Datenschutz, Bestellvorgang, Transparenz und Compliance. Nach erfolgreich abgeschlossenem Auditverfahren - das sowohl Online-Prüfungen und Vor-Ort-Audits umfasst - erhält der Anbieter das Siegel "Certfied Online Shop".

Maßgeschneiderte Digital Investigations-Services Cyber Security-Spezialist AccessData hat ein Service-Team aus erfahrenen Digital Investigations-Experten, um Unternehmen einen professionellen Beratungsservice zu bieten. Die Experten haben Erfahrung in allen Bereichen der Cyber Security sowie im Bereich Computer- und Mobilgerät-Forensik, einschließlich interner und kriminalistischer Fallbearbeitung. Im Fokus der Ermittler stehen hier unter anderem Aufgaben wie Datenanalyse, E-Mail-Forensik und Encryption. Diese Ermittlungen werden im Vorhinein mit der jeweiligen Datenschutz- bzw. Rechtsabteilung, dem Management sowie gegebenenfalls dem Betriebsrat abgesprochen.

Strukturierung forensisch relevanter Daten Bei verdächtigen Vorfällen im Zusammenhang mit IT-Systemen begeben sich Unternehmen oftmals auf dünnes Eis. Für die digitale Ursachenforschung verlangen sie daher nach einem vertrauenswürdigen und kompetenten Partner. IT-Forensik-Spezialistin AccessData formte ein Team aus erfahrenen Digital Investigations-Experten, die Unternehmen professionell zur Seite stehen. Ob Daten- und Geräteanalysen, Incident Response, Malware-Erkennung, E-Discovery oder Compliance- und Schwachstellenmanagement. Das AccessData-"Professional Services"-Team bietet Organisationen durch vier eigenständige Dienstleistungsbereiche eine individuelle interne und rechtliche Absicherung.

Professionelle Umstellung auf SEPA Am 1. Februar 2014 treten die Richtlinien der Single Euro Payments Area (SEPA) in Kraft. Die Standardisierung von Überweisungen und Lastschriften in den 32 beteiligten europäischen Ländern verspricht eine schnellere, günstigere und einfachere Abwicklung des Zahlungsverkehrs. Doch die Zeit drängt: Bis zum Stichtag müssen Unternehmen ihre internen Prozesse richtlinienkonform gestalten, sonst drohen verspätete Zahlungen und zusätzliche Kosten. Der IT-Lösungsanbieter GFT Technologies AG hat eine App entwickelt, die Unternehmen den Handlungsbedarf zum Thema SEPA aufzeigt. "Anhand weniger Fragen zu Kundenstamm, Leistungsangebot und Zahlungsverkehr erhalten die Nutzer eine Einschätzung ihrer Situation", sagte Michael Budde, Consultant und SEPA-Experte bei GFT. "Auf dieser Basis definieren wir mit unseren Kunden einen individuellen SEPA-Fahrplan."

Geldwäsche wirkungsvoll bekämpfen "GWG at home", das neue Dienstleistungspaket der skym Unternehmensberatung, hilft Unternehmen, die im Geldwäschegesetz implizit von Teilnehmern am Wirtschaftsleben geforderten Präventionsmaßnahmen zur Bekämpfung der Geldwäsche einfach und nachweisbar umzusetzen. Geldwäsche war in der Vergangenheit in Deutschland leider relativ einfach möglich. Mit der weitgehend unbemerkten Verschärfung des Geldwäschegesetzes rücken nun sehr viel größere Wirtschaftkreise als zuvor in den Fokus.

Vollautomatischer Prozess für den Online-Handel Die Deutsche Post will das Internet sicherer machen. Der neue Online-Identifikationsservice" E-Postident" hat von der Kommission für Jugendmedienschutz der Landesmedienanstalten (KJM) die begehrte Positivbewertung als "übergreifendes Jugendschutz-Konzept" erhalten. Online-Händler können mit E-Postident nun vollautomatisiert und in Echtzeit sicherstellen, dass altersbeschränkte Content- und Software-Downloads ausschließlich von volljährigen Kunden erworben werden.

Autor / Quelle (abcd) der Beiträge siehe Angaben in Klammern vor Doppelpunkt: (abcd:)