IT-Academy Logo
Sign Up Login Help
Home - Internet - E-Commerce - Können neue Kreditkartenstandards eCommerce beleben?



Können neue Kreditkartenstandards eCommerce beleben?

Vertrauensbrüche bedrohen eCommerce - 12 strenge Verhaltensregeln definieren die neuen Sicherheitsstandards - ab 30. Juni verpflichtender Sicherheitsstandard bei Kreditkartenzahlung - unseriöse Shops schieben die Verantwortung auf externe Zahlungsplattformen ab - wer die Daten seiner Kunden nicht schützt sollte Shop schließen.


Autor: Robert Sarkezi (picard)
Datum: 21-06-2005, 20:52:46
Referenzen: Pressemitteilung
Schwierigkeit: Anfänger
Ansichten: 2561x
Rating: Bisher keine Bewertung.

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Vertrauensbrüche bedrohen eCommerce

Knapp zwei Wochen vor der lange geplanten Einführung ihrer neuen Sicherheitsstandards mussten die Kreditkartenfirmen zusehen, wie 40 Millionen Kundendaten, Kartendaten und Bonitätsdaten, in die Hände krimineller Hacker kamen! Card Systems Solutions, einer der großen Plattformen für Kreditkartentransaktionen zwischen Käufern und Einzelhändlern, war bereits im April erstmals auf den Schaden aufmerksam geworden, im Mai wurde die FBI verständigt. Die potentiellen Betroffenen haben erst letztes Wochenende vom Ausmaß des Schadens erfahren.

Nach und nach dringen auch die Ursachen der Datenkatastrophe an die Öffentlichkeit. Mitarbeiter von CardSystems hatten Transaktionen im eigenen Firmennetz in unverschlüsselter Form abgespeichert um sie für Nachforschungszwecke zu nutzen. Dazu kam noch eine Sicherheitslücke im Netzwerk, durch die dann ein Spionageprogramm eingeschleust wurde. Hätte sich CardSystems an die Sicherheitsstandards der Kreditkartenfirmen, die für ein Unternehmen dieser Art schon vor der allgemeinen Einführung verpflichtend gewesen wären, gehalten, so wäre ein Schaden dieses Ausmaßes nicht möglich gewesen.

12 strenge Verhaltensregeln definieren die neuen Sicherheitsstandards

Jeder Anbieter, der Kreditkartendaten elektronisch erfasst oder speichert, muss sich an die folgenden Regeln halten:
  1. installiere und betreibe eine Firewall zum Schutz der Daten
  2. verwende keine vom Verkäufer mitglieferten System-Passworter oder Sicherheitspararmeter
  3. schütze alle gespeicherten Daten
  4. übertrage Kreditkartendaten und andere sensible Daten über öffentliche Netze ausschließlich in verschlüsselter Form
  5. verwende Anti-Virus Software und die dazugehörenden aktuellen Updates
  6. entwickle und betreibe sichere Systemanwendungen
  7. beschränke den Zugang zu Daten durch Firmenwissen
  8. ordne jeder Person mit Computerzugang eine unverwechselbare ID zu
  9. kontolliere den Zutritt zu Karteninhaberdaten
  10. protokolliere alle Zugriffe auf Netzwerk Resourcen und Karteninhaber-Daten
  11. überprüfe alle Sicherheitssysteme und Prozesse regelmäßig
  12. betreibe eine Sicherheitspolitik zum Schutz von Informationen.
Durch diese Standards erwarten sich die Kreditkartenfirmen weltweit eine langfristige Veränderung der eCommerce-Landschaft.

New Payment Card Industry (PCI) Data Security Standard ab 30. Juni verpflichtend

Mit dem New PCI - Data Security Standard setzen die großen Kreditkartenfirmen eine wesentliche Initiative zur Verbesserung der Sicherheit im Online-Shopping. Mit Stichtag 30. Juni dieses Jahres tritt der New PCI - Data Security Standard weltweit in Kraft. Dadurch soll das Vertrauen in eCommerce langfristig wiederhergestellt werden - so prognostizieren es zumindest die Sprecher der großen Kreditkartenfirmen wie Mastercard, Visa, American Express, Diners, Discover und JCB.

Unter der Führung von Visa und Mastercard konnten sich die großen Kreditkartenanbieter bereits Ende 2004 auf einen gemeinsamen Sicherheitsstandard (New PCI Data Security Standard) einigen, der ab 30. Juni dieses Jahres für alle Online-Händler, die Kreditkartendaten erfassen oder speichern, weltweit verpflichtend sein wird. Die bis dahin unterschiedlichen Sicherheitsvorgaben der verschiedenen Kartenanbieter wurden somit auf den höchsten gemeinsamen Standard gebracht. Online-Händler, die sich nicht an diesen Standard halten, müssen mit hohen Strafen bis zu 500.000 Dollar rechnen, weiters kann ihnen die Berechtigung Kreditkartenzahlungen zu akzeptieren für immer entzogen werden.

Zwar prüfen die Kreditkartenfirmen die Einhaltung der Verhaltensregeln bei kleinen Anbietern, die weniger als 20 000 Transaktionen pro Jahr durchführen, nicht regelmäßig, sie ist aber auch für diese verpflichtend.

Wird ein Anbieter jedoch einmal Opfer einer Hacker-Attacke, so muss er sich ab diesem Zeitpunkt regelmäßigen Prüfungen und denselben jährlichen Sicherheitskontrollen unterziehen wie Anbieter, die über 6 Millionen Transaktionen pro Jahr durchführen.

Unseriöse Shops schieben die Verantwortung auf externe Zahlungsplattformen ab

Händler, die nicht bereit sind, die geforderten Sicherheitsstandards einzuhalten, können diese dadurch umgehen, dass Sie selbst darauf verzichten Kreditkartendaten zu erfassen und die Verantwortung für die Daten auf externe Zahlungsplattformen abschieben. Wer die Kreditkartendaten nicht selbst elektronisch erfasst oder speichert, muss sich nicht an die Standards halten. Diese Händler verlinken unmittelbar vor der Eingabe der Kreditkartendaten auf den Server des Zahlungsdienste Anbieters, der SSL gesichert ist. In den AGBs dieser Händler findet sich dann ein Statement wie "alle Kreditkartendaten werden gesichert übertragen" - auf gut Deutsch heißt das allerdings: alle Kundendaten außer der Kreditkartennummer werden ungesichert übertragen. Laut Angaben zweier österreichischer Zahlungsplattformbetreiber, schwankt die Zahl dieser Händler derzeit um die 50 %.

Wer die Daten seiner Kunden nicht schützt, sollte Online-Shop schließen

Laut Kommunikations-Datenschutzrichtlinie der EU (2002/58/EG) ist die sichere Datenübertragung also Verschlüsselung aller personenbezogenen Daten zwinged notwendig. Klare Vorgaben für die Umsetzung in den einzelnen Ländern fehlen jedoch noch. Shopbetreiber, die an der sicheren Datenübertrgung sparen gefährden ihre Kunden. Konsumenten sollten, besonders in Hinblick auf die sich häufenden Schadensfälle, Shops mit unsicherer Datenübertragung meiden. Wer die Daten seiner Kunden nicht schützt soll den Online-Shop schließen.

Konsumenten sollten 10 Gebote beachten

Während sich die 12 Verhaltensregeln vorrangig an die Anbieter wenden, sollten sich Konsumenten beim Online-Einkauf an die "10 Gebote des Online Shoppings" halten.

Im Rahmen des neu erschienenen ONLINE SHOPPING GUIDES 2005 wurden nicht nur die besten 500 Shops gelistet, sondern auch diese 10 Gebote vorgestellt. Sie helfen jedem rasch seriöse Shops zu erkennen (http://www.e-rating.at/php/cms_monitor?q=PUB-TEXT-E-RATING&s=59298bbi).

mehr ->
http://e-rating.at/php/cms_monitor.php?question=KREDITKARTE-SSL
http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=08539cjt
http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=59298bbi
http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=37224aah

Archiv ->
http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=99271cii
http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATING&s=98589zit

andere ->
http://www.a-cert.at/php/cms_monitor.php?q=PUB-TEXT-A-CERT&s=33659caa
ftp://ftp.freenet.at/mar/PCI_data_security_standard.pdf

artikel - redaktionell/public (2005/06/21-9999/99/99) powered by e-CMS

ONLINE SHOPPING GUIDE 2005 - Das Buch zu e-rating.at
die besten 500 Online-Shops - objektiv bewertet!
http://www.e-rating.at/ info@e-rating.at
----------------------------------------------------------------------
Autor: Hans G. Zeger, ARGE DATEN
A-1160 Wien, Redtenbacherg. 20
fon (+43)(0)676/9107032 fax (+43)(0)1/4803209


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06246
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1154
Comments: 0