exceed.IT SECURITY

Die weltweit geltenden Payment Card Industry Data Security Standards definieren spezifische Anforderungen für die verschiedenen Bereiche der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten, die von Banken, Prozessoren, Payment Service Providern, Hosting Providern, Händlern und Payment Application Providern eingehalten werden müssen.

Unsere Services zielen auf alle diese verschiedenen Standards. Wir bieten unseren Kunden ein umfassendes Angebot an Beratungs- und Audit-Leistungen, jeweils zugeschnitten auf ihre spezifischen Anforderungen.


Mit unserer langjährigen Erfahrung in den Bereichen Informationssicherheit, Auditierung und unserem Know-how hinsichtlich der Anforderungen der Kreditkartenbranche bieten wir qualitativ hochwertige

Dienstleistungen mit klarem Kundenfokus.

  
     





  • Audit & Assessments
  • Training & Awareness
  • Datenschutz Consulting
  • Software-as-a-Service

Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Sicherheitsstandard, der u.a. Anforderungen an das Sicherheitsmanagement, an Richtlinien, Abläufe, Netzwerkarchitektur und Software Design stellt. Als umfassender Standard unterstützt er Organisationen dabei, Kartendaten von Kunden präventiv zu schützen und erhöht damit die Sicherheit beim Umgang mit Kartendaten.

Der Katalog verpflichtender Kriterien und Anforderungen gruppiert sich in sechs Hauptbereiche mit mehr als 200 Einzelanforderungen:

- Aufbau und Instandhaltung eines sicheren Netzwerks
- Schutz von Kreditkartendaten
- Einsatz eines Schwachstellen-Management-Programms
- Implementierung strenger Zugangskontrollmaßnahmen
- Regelmäßige Überwachung und Test der IT-Infrastruktur
- Implementierung und Einhaltung von Richtlinien zur Informationssicherheit

PCI-DSS ist verpflichtend für Banken, Prozessoren, Payment Service Provider und Händler, die Karteninhaberdaten für eigene Zwecke oder im Namen anderer Organisationen speichern, verarbeiten oder übermitteln. Der PCI-DSS wurde vor einigen Jahren von Visa International, MasterCard, American Express, JCB und Discover entwickelt.

2006 wurde schließlich das PCI Security Standard Council (PCI SSC) gegründet, um die weltweite Einführung konsistenter Datensicherheitsmaßnahmen zu unterstützen.

PA-DSS
Der Payment Application Data Security Standard (PA-DSS) stellt einen Katalog von Anforderungen dar, welche aus dem PCI-DSS Standard und den zugehörigen Audit-Richtlinien hervorgegangen ist. Softwarehersteller und deren Kunden haben dadurch PCI-DSS-konforme Richtlinien für die Entwicklung, die Implementierung und den Betrieb von paymentspezifischer Softwarekomponenten zur Verfügung.

PA-DSS ist in vierzehn Anforderungsgruppen mit mehr als vierzig einzelnen Anforderungen unterteilt. Die Anforderungen beziehen sich auf die softwarespezifischen Inhalte der sechs Hauptkapitel des PCI-DSS Standards. Dazu gehören u.a. Anforderungen für die Speicherung und den Schutz sensibler Daten, Access Control und Logging, Design und Entwicklung sicherer Softwaresysteme, Dokumentation von sicherheitsrelevanten Funktionen und die Nutzbarkeit in sicheren Netzwerkarchitekturen.

PA-DSS ist für Softwarehersteller der verbindliche Standard um paymentspezifische Softwareapplikationen an Banken, Prozessoren, Payment Service Provider oder Händler zu liefern, die mit diesen Applikationen Karteninhaberdaten für eigene Zwecke oder im Namen anderer Organisationen verarbeiten, speichern oder übermitteln.

PCI-PIN
Der Payment Card Industry PIN Security Standard (PCI-PIN) ist ein umfassender Katalog von Anforderungen, um bei Banken, Prozessoren und ATM/EFTPOS Netzwerkbetreibern die Sicherheit PIN-basierter Transaktionen zu gewährleisten.
Die PCI-PIN Sicherheitsanforderungen beziehen sich auf das Sicherheitsmanagement sowie die Verarbeitung und Übermittlung der Personal Identification Number (PIN) Daten einer am Geldautomaten (ATM) oder Point-of-Sale (EFTPOS) Terminals durchgeführten Transaktion. Der Standard umfasst 32 einzelne Anforderungen, die in sieben logische Gruppen, den sogenannten “Control Objectives” gegliedert sind. Diese Anforderungen finden Anwendung bei allen Instituten, die PIN-basierte Transaktionen der Kartenorganisationen durchführen.

Die sieben Control Objectives sind

- PIN Daten, die in Transaktionen gemäß diesen Anforderungen genutzt werden, werden mit Equipment und Methoden verarbeitet, die die Sicherheit der PIN Daten gewährleisten.
- Die Generierung von kryptographischen Schlüsseln, die für die PIN Ver- und Entschlüsselung verwendet werden, sowie dem damit verbundenen Key Management, erfolgen auf Basis von definierten Abläufen. Diese Abläufe müssen sicherstellen, dass es nicht möglich ist, Schlüssel vorherzusagen oder dass bestimmte Schlüssel wahrscheinlicher sind als andere.
- Die Übermittlung von Schlüsseln erfolgt auf sichere Art und Weise.
- Das Laden von Schlüsseln in Hostsysteme und PED´s erfolgt auf sichere Art und Weise.
- Schlüssel werden derart genutzt, die unbefugter Nutzung vorbeugt oder diese aufdeckt.
- Schlüssel werden auf eine sichere Art und Weise verwaltet.
- Equipment für die Verarbeitung von PIN-Daten und Schlüsseln wird sicher verwaltet.

 



Um IT-Sicherheit im Unternehmen bei den Mitarbeitern bewusst zu machen, ist es wichtig, über Schulungs- und Informationsveranstaltung Kenntnisse über mögliche Bedrohungen, die Erkennung und den Schutz davor zu vermitteln.

Wir bieten hierzu unterschiedliche Leistungen für die Schulung von Mitarbeitern an. Diese Schulungsmaßnahmen richten sich an den im PCI-DSS festgelegten Anforderungen aus.

Secure Coding Schulungen
Ein wesentlicher Faktor für die PCI-Compliance ist sichere und robuste Software. Dabei soll sich die Entwicklung an Best Practice Richtlinien, wie denen des „Open Web Application Security Project Guide“, kurz OWASP, orientieren. Die in diesem Zusammenhang sicherheitsrelevanten Aspekte werden im Rahmen der Secure Coding Schulung vorgestellt und die erforderlichen Kenntnisse zu ihrer Umsetzung vermittelt.

Awareness Schulung
In Form von Workshops oder Trainings adressieren diese Schulungen die Anforderungen des PCI-DSS Standards an die Etablierung von Awareness (Bewusstsein) bei den Mitarbeitern in Bezug auf Sicherheitsthemen und den Umgang mit sensitiven Daten, wie z.B. Kartendaten. Requirement 12.6 des PCI-DSS erfordert die Durchführung von regelmäßigen Awareness Trainings und die Etablierung von Vorgaben durch das Unternehmen, um den Mitarbeitern eine Wissensvermittlung und Sensibilisierung hinsichtlich der Themen der Informationssicherheit zu bieten.

Für Unternehmen und Organisationen bieten wir individuelle Beratungsleistungen im Bereich Datenschutz an.

Ziel unserer Leistungen ist die Vermittlung von Know-how, Unterstützung bei der Erfüllung gesetzlicher Pflichten, Herstellung revisionkonformer Organisationen, Prozesse und Infrastrukturen.

Sie haben die Wahl
Unsere Kunden können einzelne Beratungstage oder individuell auf Ihre Bedürfnisse zugeschnittene Beratungspakete beauftragen. Als besondere Leistung bieten wir die Übernahme der Rolle und Aufgabe des Datenschutzbeauftragten durch einen unserer erfahrenen Experten an. Alternativ beraten wir interne Datenschutzbeauftragte bei ihrer Aufgabe.

Der erste Schritt
Den ersten Schritt können Unternehmen mit einem Datenschutz-Audit machen. Auf Basis des Audits wird transparent, ob und welche Maßnahmen zur Verbesserung geplant, vorbereitet und durchgeführt werden müssen. Wir begleiten unsere Kunden bei diesem Prozess und unterstützen persönlich und kompetent vom Audit bis zur Zertifizierung.

Compliance Management in der Payment Card Industrie wird zukünftig einen immer größeren Stellenwert einnehmen.

Das Compliance Management der beteiligten Unternehmen, die Durchführung von Zertifizierungen, das Reporting und die Überwachung des Compliancestatus von Vertragspartnern und Kunden während des Zertifizierungsprozesses erfordern Effektivität und Effizienz.

Mit der Hilfe unserer langjährigen Partner in der web-basierten Softwareentwicklung und Back Office-Integration sowie unserem Wissen über Compliance Management liefern wir hochwertige Lösungen für regulierende Institutionen. Unsere Compliance Lösungen und Services fokussieren auf die indivuduellen Anforderungen.
Wir bieten anspruchsvolle, automatisierte, integrierte und einfach zu nutzende Lösungen und Services für die Unterstützung der spezifischen Prozesse.

Acquirer Compliance Lösungen
Die Acquirer Compliance Lösungen der Exceed/Acertigo gehen auf die spezifischen Bedürfnisse von Acquirern hinsichtlich des Compliance Managements ihrer Händler ein. Sie unterstützen Acquirer dabei, die Anforderungen der Kartenorganisationen für deren eigene Konformität (Compliance) zu erfüllen und verbessern die Automatisierung der geforderten Reportingaufgaben. Weiterhin unterstützt die Lösung das Compliance Program Management eines Acquirers bezüglich der Regularien seitens Visa AIS, MasterCard SDP und American Express DSOP.

Unsere Lösung bietet Acquirern vielfältige Werkzeuge, um Informationen über Händler sowie deren Erfassung, Registrierung und Klassifizierung zu verwalten, den Compliance Status eines Händlers zu verfolgen sowie entsprechende Statistiken und damit verbundene Reports für das Programm-Management des Acquirer zu erstellen.
Mit der Acquirer Compliance Lösung können Acquirer alle Daten ihrer Händler verwalten, unabhängig vom jeweiligen QSA den der Händler für seine eigene Zertifizierung ausgewählt hat. Das bietet Acquirern höchstmögliche Unabhängigkeit und die Möglichkeit Compliance Informationen von all ihren Händler zu verwalten und zu bearbeiten.

Acquirer Compliance Lösungen
Die Acquirer Compliance Lösungen der Exceed/Acertigo gehen auf die spezifischen Bedürfnisse von Acquirern hinsichtlich des Compliance Managements ihrer Händler ein. Sie unterstützen Acquirer dabei, die Anforderungen der Kartenorganisationen für deren eigene Konformität (Compliance) zu erfüllen und verbessern die Automatisierung der geforderten Reportingaufgaben. Weiterhin unterstützt die Lösung das Compliance Program Management eines Acquirers bezüglich der Regularien seitens Visa AIS, MasterCard SDP und American Express DSOP.

Unsere Lösung bietet Acquirern vielfältige Werkzeuge, um Informationen über Händler sowie deren Erfassung, Registrierung und Klassifizierung zu verwalten, den Compliance Status eines Händlers zu verfolgen sowie entsprechende Statistiken und damit verbundene Reports für das Programm-Management des Acquirer zu erstellen.

Mit der Acquirer Compliance Lösung können Acquirer alle Daten ihrer Händler verwalten, unabhängig vom jeweiligen QSA den der Händler für seine eigene Zertifizierung ausgewählt hat. Das bietet Acquirern höchstmögliche Unabhängigkeit und die Möglichkeit Compliance Informationen von all ihren Händler zu verwalten und zu bearbeiten.

Händler sind dazu verpflichtet, ihre PCI-Konformität (Compliance) nachzuweisen, indem sie einen Selbstbewertungs-Fragebogen („Self Assessment Questionnaire“) ausfüllen und regelmäßig externe Schwachstellens-Scans durchführen lassen.

Mit dem komfortablen PCI-Händlerportal unterstützen wir Händler bei der Durchführung der PCI-DSS-Zertifizierung. Die einfach zu benutzende Web-Anwendung führt den Benutzer durch den gesamten Zertifizierungsprozess.

Fünf Schritte: Wir helfen Händlern bei der Zertifizierung!

Selbstverständlich stehen wir unseren Kunden für alle Fragen hinsichtlich des PCI-Standards und der Zertifizierung zur Seite. Viele unserer Kunden nutzen unsere professionellen Beratungsleistungen bei der Auswahl der richtigen Lösung, der Umsetzung von Maßnahmen oder zur Unterstützung beim Ausfüllen der Selbstauskunft.

Kosten der Zertifizierung
Die Zertifizierungskosten sind abhängig davon, ob und wieviele IP-Adressen wir im Schwachstellen-Scan prüfen müssen. Darüber hinaus haben wir mit vielen Acquirern Sonderkonditionen vereinbart, von denen unsere Kunden profitieren. Als Anhaltspunkt gilt: Falls ein Händler lediglich zur Selbstauskunft (SAQ) verpflichtet ist, erbringen wir diesen Service kostenlos. Für die Durchführung von Schwachstellen-Scans müssen Händler in der Regel mit Kosten unter 1.000 Euro pro Jahr rechnen.