PCI-Sicherheitsstandard erhöht Kaufspaß

Statement of the Month: "PCI-Compliance" - Es gibt keine halbe Lösung, alle Unternehmen müssen zu 100 Prozent die Compliance-Anforderungen einhalten
Jedes Unternehmen, das mit Kreditkarten-Daten umgeht, sie überträgt oder speichert, ist für den Schutz der Daten verantwortlich

(14.11.07) - Endlich Urlaub - die Sonne lacht, die Stimmung steigt und der Geldbeutel sitzt lockerer. Am einfachsten lässt es sich natürlich mit der Kreditkarte zahlen, mit dem entscheidenden Vorteil, dass man nicht immer gleich sieht, wie viel schon ausgegeben wurde. So lässt sich der Urlaub noch entspannter genießen. Wenn die Kreditkartendaten in falsche Hände geraten und jemand anderes auf eigene Kosten Urlaub macht, kann das die Freude schnell trüben - Die zunehmende Komplexität der IT-Umgebungen sorgt nämlich für immer mehr Schwachstellen. Zum Glück für den Konsumenten gibt es hier neue Richtlinien. Seit dem 30. Juni 2007 ist für alle Vertragspartner der Kreditkartenunternehmen der so genannte "Payment Card Industry Data Security Standard" (PCI-DSS) verpflichtend. Marina Walser, Director Identity & Security Management, Novell Central Europe, erläutert, wie Unternehmen diese Standards mittels Identitätsmanagement umsetzen können und wie das Bezahlen "mit dem guten Namen" dadurch sicherer wird.

Die Gefahren, die das Bezahlen mit der Kreditkarte für den Konsumenten, wie aber auch für den Händler
oder Dienstleister mit sich bringt, sind nicht zu unterschätzen. Ein unbekannter Hacker hat zum Beispiel
300.000 Kreditkartennummern gestohlen, die beim Unternehmen CD Universe gespeichert waren und
25.000 davon auf einer Website veröffentlicht, nachdem der Händler sich weigerte, 100.000 US-Dollar
"Lösegeld" für die Daten zu bezahlen. Beispiele dieser Art gibt es viele, die Betrugsfälle gehen in die
Millionen. Daher haben sich die Sicherheitsexperten der Kreditkartenunternehmen zusammengesetzt und
eine gemeinsame Lösung entwickelt. Jedes Unternehmen, das mit Kreditkarten-Daten umgeht, sie überträgt
oder speichert, muss eine Reihe von Sicherheits-Richtlinien zum Schutz der Daten einhalten. Im anderen
Fall sind hohe Schadensersatzzahlungen und erhöhte Transaktionsgebühren zu leisten. Es handelt sich
nicht um einen gesetzlichen, sondern um einen privaten Standard, der aber nichtsdestotrotz verpflichtend ist.

Die Studie "Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung" der Friedrich-Alexander- Universität Erlangen-Nürnberg, Lehrstuhl für Wirtschaftsinformatik III in Zusammenarbeit mit Novell ist hier erhältlich.