Schutz von Kreditkartendaten auf höchstem Niveau

MIDOCO Midoffice ist PCI/DSS (Level 1) zertifiziert

  
Kapitel I

MIDOCO ist PCI/DSS (Level 1) zertifiziert

PCI/DSS steht für Payment Card Industry Data Security Standard. Die Sicherheit der Daten Ihrer Kunden hat bei MIDOCO höchste Priorität. Zur Gewährleistung dieser Sicherheit, insbesondere im Hinblick auf die Kreditkartendaten Ihrer Kunden, unterzieht MIDOCO sich regelmäßig der PCI/DSS (Level 1) Zertifizierung. Es sind vier Zertifizierungslevels vorgesehen, die sich an der Menge der verarbeiteten Transaktionen oder der Einschätzung einer Kreditkartenorganisation orientieren. MIDOCO verarbeitet über sechs Millionen Transaktionen und fällt in den Bereich des PCI/DSS (Level 1) Standards. Mit dem PCI/DSS (Level1) Standard hat MIDOCO das höchstmögliche Schutzniveau für Kreditkartendaten Ihrer Kunden in MIDOCO implementiert.

  
Kapitel II

Was beinhaltet die PCI/DSS (Level 1) Zertifizierung?

MIDOCO verarbeitet Kreditkartendaten. Für Unternehmen, die Kreditkartendaten speichern, verarbeiten oder übermitteln, ist der PCI/DSS Standard verpflichtend. Im Rahmen der Zertifizierung unterzieht sich MIDOCO regelmäßig einem unabhängigen Audit, der verschiedene Bereiche der Geschäftstätigkeit des Unternehmens beleuchtet. In diesem Zusammenhang werden Anforderungen gestellt, die MIDOCO erfüllen muss, um die Zertifizierung zu erhalten. Es werden Interviews mit Verantwortlichen geführt, Dokumentationen gesichtet, Partnerbeziehungen untersucht, Hardware, Software, Datenbanken, Netzwerkarchitektur und die regelmäßige Durchführung von Sicherheitsprozessen geprüft. Zudem wird MIDOCO regelmäßig sogenannten Penetrationstests unterzogen. Damit sollen Schwachstellen rechtzeitig erkannt und Angriffen vorgebeugt werden.

Folgende Bereiche werden im Rahmen des unabhängigen Audits geprüft:

  1. Gesamtzusammenhang in dem Kreditkartendaten gespeichert, verarbeitet und übermittelt werden
  2. Betrieb eines sicheren Netzwerks
  3. Schutz der Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten
  4. Sicherheitsvorkehrungen gegen Viren und Malware
  5. Zugangsregulierung
  6. Monitoring und Prüfung der Software und IT-Infrastruktur
  7. Formulierung und Kommunikation einer Richtlinie für Informationssicherheit im Unternehmen

Das Ergebnis der Untersuchung ist ein ROC (Report On Compliance), in dem dediziert der Status von MIDOCO zum PCI/DSS Anforderungskatalog festgehalten wird. Belege sind Notizen, Dokumente, Screenshots, Testergebnisse und Referenzen, die im Laufe des Audits erstellt und zusammengetragen wurden. Für die PCI/DSS (Level1) Zertifizierung sind vierteljährliche Schwachstellen Scans und ein jährlicher Audit vor Ort vorgesehen.

  
Kapitel III

Hintergrund der PCI/DSS Zertifizierung

In der Vergangenheit haben viele Fälle von Kreditkartenmissbrauch das Ansehen dieser Zahlungsmöglichkeit stark beschädigt und zu hohen Kosten geführt. Die Bestimmungen für den PCI/DSS Standard werden vom PCI SSC (Payment Card Industry Security Standards Council) definiert. Das PCI SSC wurde bereits 2006 von den Kreditkartenunternehmen Visa, Mastercard, American Express, Discover Financial Services und JCB International ins Leben gerufen, mit der Aufgabe, die Sicherheitsstandards im Umgang mit Kreditkartendaten weiterzuentwickeln. Schlussendlich ist der PCI/DSS Standard aus den Sicherheitsbestimmungen von Visa und Mastercard hervorgegangen und gilt bei allen Kreditkartenanbietern als verbindlich.

  
Kapitel IV

Warum speichert MIDOCO Kreditkartendaten?

Die PCI/DSS (Level 1) Zertifizierung ist extrem aufwändig und kostenintensiv. Daher macht es nicht für jedes Unternehmen Sinn, sich dieser Prüfung zu unterziehen. In dem die Kreditkartendaten in MIDOCO gespeichert und verarbeitet werden können, haben Sie als Kunde von MIDOCO die Möglichkeit, alle Bereiche der Zahlung vollständig und in einer Hand zu automatisieren. Die Speicherung der Kreditkartendaten verhindert, dass Sie bei jedem Prozess, der Kreditkarteninformation benötigt, die Kreditkartendaten einholen müssen. Das ist manueller Aufwand, der bei steigender Zahl von Transaktionen die Skalierbarkeit eines Prozesses beeinträchtigt. Damit ist die PCI/DSS-Zertifizierung ein Eckpfeiler des Wachstums im Rahmen Ihrer Prozesslandschaft.

Es gibt eine Vielzahl von Fällen, bei denen diese Hürde auftritt. Ein Geschäftsreisebüro müsste für jede Berechnung und Bezahlung der Transaktionsgebühren die Kreditkartendaten bei seinem Kunden anfragen. Nur die Speicherung der Kreditkartendaten des Unternehmenskunden im Midoffice ermöglicht eine vollautomatische Abwicklung des gesamten Transaktionsgebührenprozesses. Für Urlaubsreisebüros vereinfacht die Kredikartendatenspeicherung die Durchführung der Restzahlung. Dieser Prozess kann somit erst vollständig automatisiert werden, da sonst eine Kontaktaufnahme mit dem Kunden nötig ist, um die Kreditkartendaten für die Restzahlung zu erhalten.

Contributors:

magnus

Magnus Kunhardt

Group Marketing Director

UMBRELLA Team Steffen Faradi

Steffen Faradi

CEO & Mitbegründer

UMBRELLA Team Helmut Pilz

Helmut Pilz

SVP Business Development

Aus unserem Blog

Mehr Travel-Tech

Travel Rockstar Interview - Roman Wetli
Travel Rockstar Interview mit Roman Wetli - CIO & Executive Board Member @Hotelplan Group

Travel Rockstar Interview - Roman Wetli

Feb 15, 2024 9:25:00 AM 2 min read
Business Travel Rockstar Interview - Alexa Haenisch

Business Travel Rockstar Interview - Alexa Haenisch

Jan 10, 2024 12:00:47 PM 3 min read
Travel Rockstar Interview - Roland Birchmeier
Roland  Birchmeier

Travel Rockstar Interview - Roland Birchmeier

Oct 26, 2023 3:33:11 PM 3 min read