MIDOCO Midoffice ist PCI/DSS (Level 1) zertifiziert
MIDOCO ist PCI/DSS (Level 1) zertifiziert
PCI/DSS steht für Payment Card Industry Data Security Standard. Die Sicherheit der Daten Ihrer Kunden hat bei MIDOCO höchste Priorität. Zur Gewährleistung dieser Sicherheit, insbesondere im Hinblick auf die Kreditkartendaten Ihrer Kunden, unterzieht MIDOCO sich regelmäßig der PCI/DSS (Level 1) Zertifizierung. Es sind vier Zertifizierungslevels vorgesehen, die sich an der Menge der verarbeiteten Transaktionen oder der Einschätzung einer Kreditkartenorganisation orientieren. MIDOCO verarbeitet über sechs Millionen Transaktionen und fällt in den Bereich des PCI/DSS (Level 1) Standards. Mit dem PCI/DSS (Level1) Standard hat MIDOCO das höchstmögliche Schutzniveau für Kreditkartendaten Ihrer Kunden in MIDOCO implementiert.
PCI/DSS (Level 1) Zertifikat der MIDOCO GmbH ansehen
PDF 581 kB
Was beinhaltet die PCI/DSS (Level 1) Zertifizierung?
MIDOCO verarbeitet Kreditkartendaten. Für Unternehmen, die Kreditkartendaten speichern, verarbeiten oder übermitteln, ist der PCI/DSS Standard verpflichtend. Im Rahmen der Zertifizierung unterzieht sich MIDOCO regelmäßig einem unabhängigen Audit, der verschiedene Bereiche der Geschäftstätigkeit des Unternehmens beleuchtet. In diesem Zusammenhang werden Anforderungen gestellt, die MIDOCO erfüllen muss, um die Zertifizierung zu erhalten. Es werden Interviews mit Verantwortlichen geführt, Dokumentationen gesichtet, Partnerbeziehungen untersucht, Hardware, Software, Datenbanken, Netzwerkarchitektur und die regelmäßige Durchführung von Sicherheitsprozessen geprüft. Zudem wird MIDOCO regelmäßig sogenannten Penetrationstests unterzogen. Damit sollen Schwachstellen rechtzeitig erkannt und Angriffen vorgebeugt werden.
Folgende Bereiche werden im Rahmen des unabhängigen Audits geprüft:
- Gesamtzusammenhang in dem Kreditkartendaten gespeichert, verarbeitet und übermittelt werden
- Betrieb eines sicheren Netzwerks
- Schutz der Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten
- Sicherheitsvorkehrungen gegen Viren und Malware
- Zugangsregulierung
- Monitoring und Prüfung der Software und IT-Infrastruktur
- Formulierung und Kommunikation einer Richtlinie für Informationssicherheit im Unternehmen
Das Ergebnis der Untersuchung ist ein ROC (Report On Compliance), in dem dediziert der Status von MIDOCO zum PCI/DSS Anforderungskatalog festgehalten wird. Belege sind Notizen, Dokumente, Screenshots, Testergebnisse und Referenzen, die im Laufe des Audits erstellt und zusammengetragen wurden. Für die PCI/DSS (Level1) Zertifizierung sind vierteljährliche Schwachstellen Scans und ein jährlicher Audit vor Ort vorgesehen.
Hintergrund der PCI/DSS Zertifizierung
In der Vergangenheit haben viele Fälle von Kreditkartenmissbrauch das Ansehen dieser Zahlungsmöglichkeit stark beschädigt und zu hohen Kosten geführt. Die Bestimmungen für den PCI/DSS Standard werden vom PCI SSC (Payment Card Industry Security Standards Council) definiert. Das PCI SSC wurde bereits 2006 von den Kreditkartenunternehmen Visa, Mastercard, American Express, Discover Financial Services und JCB International ins Leben gerufen, mit der Aufgabe, die Sicherheitsstandards im Umgang mit Kreditkartendaten weiterzuentwickeln. Schlussendlich ist der PCI/DSS Standard aus den Sicherheitsbestimmungen von Visa und Mastercard hervorgegangen und gilt bei allen Kreditkartenanbietern als verbindlich.
Warum speichert MIDOCO Kreditkartendaten?
Die PCI/DSS (Level 1) Zertifizierung ist extrem aufwändig und kostenintensiv. Daher macht es nicht für jedes Unternehmen Sinn, sich dieser Prüfung zu unterziehen. In dem die Kreditkartendaten in MIDOCO gespeichert und verarbeitet werden können, haben Sie als Kunde von MIDOCO die Möglichkeit, alle Bereiche der Zahlung vollständig und in einer Hand zu automatisieren. Die Speicherung der Kreditkartendaten verhindert, dass Sie bei jedem Prozess, der Kreditkarteninformation benötigt, die Kreditkartendaten einholen müssen. Das ist manueller Aufwand, der bei steigender Zahl von Transaktionen die Skalierbarkeit eines Prozesses beeinträchtigt. Damit ist die PCI/DSS-Zertifizierung ein Eckpfeiler des Wachstums im Rahmen Ihrer Prozesslandschaft.
Es gibt eine Vielzahl von Fällen, bei denen diese Hürde auftritt. Ein Geschäftsreisebüro müsste für jede Berechnung und Bezahlung der Transaktionsgebühren die Kreditkartendaten bei seinem Kunden anfragen. Nur die Speicherung der Kreditkartendaten des Unternehmenskunden im Midoffice ermöglicht eine vollautomatische Abwicklung des gesamten Transaktionsgebührenprozesses. Für Urlaubsreisebüros vereinfacht die Kredikartendatenspeicherung die Durchführung der Restzahlung. Dieser Prozess kann somit erst vollständig automatisiert werden, da sonst eine Kontaktaufnahme mit dem Kunden nötig ist, um die Kreditkartendaten für die Restzahlung zu erhalten.
Contributors:
Magnus Kunhardt
Group Marketing Director
Steffen Faradi
CEO & Mitbegründer
Helmut Pilz
SVP Business Development