Das Bezahlen mit Kreditkarte wird immer beliebter. Dies erfordert jedoch auch strengere Sicherheitsmaßnahmen in Bezug auf Kreditkarten- und Transaktionsdaten, um das Vertrauen der Verbraucher in dieses Zahlungsverfahren zu stärken. Aus diesem Grunde haben Sicherheitsexperten der Kreditkartenunternehmen ihr Vorgehen miteinander abgestimmt und eine gemeinsame Lösung entwickelt. Jedes Unternehmen, das Kreditkartendaten verarbeitet, übermittelt oder speichert, muss hinsichtlich der Datensicherheit eine Anzahl von Richtlinien einhalten. Ziel dieser Vorgehensweise ist es, dass alle Geschäftsleute, die Kreditkarten dieser Unternehmen akzeptieren, sich strikt an den Sicherheitsstandard der Kreditkartenunternehmen „Payment Card Industry – Data Security Standard“ (PCI-DSS) halten, früher bekannt als „Cardholder Information Security Program“ (CISP, Programm für die Sicherheit von Karteninhaberinformationen).

Die aktuelle Version des Standards wurde innerhalb weniger Jahre entwickelt. VISA führte das Sicherheitsprogramm „Cardholder Information Security Program (CISP)“ 2001 ein. Es war das erste Programm dieser Art, und Geschäftsleute und Service Provider wurden dadurch verpflichtet, eine Anzahl spezieller Datensicherheitsstandards einzuhalten. Einige Jahre später stimmten VISA, MasterCard, American Express, Discover, Diners Club und JCB ihre jeweiligen Richtlinien aufeinander ab und führten den „Payment Card Industry Data Security Standard“ (PCI-DSS) ein, eine aktualisierte und umfassendere Version des Sicherheitsstandards, die für alle Geschäftsleute und Service Provider im Juni 2005 verpflichtend wurde. Nach einer weiteren Aktualisierung im September 2006 umfasst der Standard jetzt etwa 160 Anforderungen, die Ende Juni 2007 verpflichtend wurden. Diese Vereinbarung ist von erheblicher Bedeutung: Allein im Jahr 2006 machte VISA Forderungen in Höhe von 4,6 Millionen US-Dollar gegen Geschäftsleute geltend, die diese Standards nicht eingehalten hatten. Gegenüber dem vorhergehenden Jahr stellt dies eine Steigerung von 35 % dar.

Der aktuelle PCI-DSS-Standard umfasst strenge Normen für die Verarbeitung und Speicherung von Kreditkartendaten. Geschäftsleute müssen diese Normen einhalten, um ihren Status als Partner der Kreditkartenunternehmen aufrechtzuerhalten und hohe Geldbußen zu vermeiden. Möglicherweise haben Sie in den vergangenen Monaten von Ihrer Bank Informationen über den PCI-DSS-Standard und seine Bedeutung für die Verhinderung von Kreditkartenbetrug erhalten.

Die Kreditkartenunternehmen VISA und MasterCard haben sich auf gemeinsame Standards geeinigt, die eine gemeinsame Vorgehensweise bei der Anwendung von Sicherheitsbestimmungen ermöglichen sollen. Diese „Payment Card Industry (PCI) Data Security Standards“ gelten für die gesamte Kartenzahlungsbranche.

In den PCI-DSS-Bestimmungen sind 12 Anforderungen aufgeführt, die alle Geschäftsleute und Service Provider einhalten müssen, die Kreditkarten akzeptieren.

Erstellen und unterhalten Sie ein sicheres Netzwerk
1. Erstellen und unterhalten Sie eine Firewallkonfiguration, um die Daten der Kreditkarteninhaber zu schützen.
2. Übernehmen Sie keine Voreinstellungen der jeweiligen Händler für Systemkennwörter und andere Sicherheitsparameter.

Schützen Sie die Daten der Karteninhaber
3. Schützen Sie gespeicherte Daten der Karteninhaber. Speichern Sie keine unnötigen Karten- oder Transaktionsdaten wie die gesamte Kartennummer, Magnetstreifendaten, Kreditkartenprüfwert (CVV2, Card Verification Value) oder PIN.
4. Verschlüsseln Sie die Daten der Karteninhaber sowie sensible Informationen bei der Übertragung über offene, öffentliche Netzwerke.

Unterhalten Sie ein Schwachstellenmanagementprogramm
5. Verwenden Sie Anti-Virus-Software, und aktualisieren Sie diese regelmäßig.
6. Entwickeln und unterhalten Sie sichere Systeme und Anwendungen.

Ergreifen Sie wirkungsvolle Maßnahmen zur Zugriffskontrolle
7. Gestatten Sie den Zugriff auf Karteninhaberdaten nur, wenn er aus Geschäftsgründen erforderlich ist.
8. Weisen Sie allen Personen, die Zugriff auf den Computer haben, jeweils eine eigene Kennung zu.
9. Beschränken Sie den physischen Zugriff auf die Daten der Karteninhaber.

Überwachen und testen Sie die Netzwerke regelmäßig
10. Überwachen und verfolgen Sie jeden Zugriff auf Netzwerkressourcen und Karteninhaberdaten.
11. Testen Sie Sicherheitssysteme und -prozesse regelmäßig.

Unterhalten Sie eine Datensicherheitsrichtlinie
12. Unterhalten Sie eine Richtlinie zur Datensicherheit.

Diese 12 Bestimmungen werden hier näher erläutert.

Eines der wichtigsten Elemente des 12-Punkte-Datensicherheitsprogramms PCI-DSS ist das Verbot der Speicherung vollständiger Kreditkarten- und CVV-Daten in irgendeiner Form nach der erfolgreichen Autorisierung. Dies ist deshalb entscheidend, da der Zugriff auf diese hochsensiblen Daten das Fälschen von Kreditkarten erleichtert.

Wird bei einem Audit festgestellt, dass Sie als Kaufmann Kreditkartendaten am POS (Kasse), im PMS (Front-Office-System) oder an Ihrem Firmensitz speichern, wird VISA mit hoher Wahrscheinlichkeit eine Geldbuße gegen Ihre Bank verhängen. Ihre Bank gibt diese Geldbuße dann an Sie weiter, da Sie die entsprechenden Bestimmungen nicht eingehalten haben. VISA ist darüber informiert, dass gewisse POS- und PMS-Produkte Kreditkartendaten speichern.

Diese Situation betrifft alle IT-Provider der gesamten Branche wie auch Ihre Transaktions-Service-Provider. Sorgen Sie bitte dafür, dass auch Ihr Transaktions-Service-Provider die Einhaltung (Compliance) der PCI-DSS-Bestimmungen bestätigt.

Geschäftsleute und Service Provider müssen sich bei der Verarbeitung von Kreditkarten- und Transaktionsdaten an die „PCI Data Security Standards“ halten. Das bedeutet, dass sie sich einem Zertifizierungsverfahren unterziehen müssen, welches von einem von VISA und MasterCard autorisierten Beauftragten durchgeführt wird.

Bei MICROS-Fidelio nehmen wir diese Initiative sehr ernst. Als die neuen Richtlinien der Kreditkartenunternehmen bekanntgemacht wurden – die die weit verbreitete Speicherung von Kreditkartendaten verbieten – nahmen wir bei allen unseren Softwareanwendungen die entsprechenden Änderungen vor, um die neuen Bestimmungen einzuhalten.

Mittlerweile haben wir eine Anzahl weiterer Änderungen vorgenommen, damit unsere Produkte so weit wie möglich vollständig PCI-DSS-konform sind. Die PCI-DSS-konformen Versionen unserer MICROS-Fidelio-Produkte bieten wir unseren Kunden als Upgrades an. Kleinere Upgrades und Patches können vom MICROS-Fidelios-Support vorgenommen werden. Bitte erkundigen Sie sich bei Ihrem zuständigen Supportteam, ob bei Ihrem Produkt ein Patch möglich ist.

Seit 2006 ist MICROS-Fidelio ein zertifizierter Softwarehersteller von Zahlungsanwendungen, die den Sicherheitsstandards entsprechen. Eine Liste aller zertifizierten Softwareanbieter und der entsprechenden Anwendungen finden Sie auf der offiziellen Website von VISA für die USA oder wenn Sie hier klicken:

Wir empfehlen Ihnen, Ihre Produktversion auf PCI-DSS-Konformität zu prüfen und außerdem sicherzustellen, dass alle für die Konformität (Compliance) erforderlichen Einrichtungsoptionen richtig eingestellt sind. Eine Liste aller PCI-DSS-zertifizierten Systeme finden Sie hier.

Unsere Supportabteilungen unterstützen Sie gern bei der Auswahl der Konfigurationsoptionen. Sie erreichen uns zu den regulären Geschäftszeiten der Supportabteilung unter den normalen Kontaktoptionen für den Support. Sollten Sie ein Software-Upgrade benötigen, unterstützen wir Sie bei dessen Planung und Terminierung.

Bitte klicken Sie hier, um sich an Ihr lokales MICROS-Fidelio EAME-Supportcenter zu wenden.

Weder MICROS-Fidelio noch Ihr Service Provider haften für mögliche Schäden, die in Verbindung mit der Verwendung nicht konformer Produkte auftreten.

Wir bedauern, dass der Markt einen derartigen Druck auf Banken und Geschäftsleute ausübt, die Kreditkarten akzeptieren. Wir sehen es aber als unsere Pflicht an, Sie über diese Angelegenheit auf dem Laufenden zu halten.

Wir unterstützen Sie gern auf jede uns mögliche Weise.

PCI-DSS (Payment Card Industry Data Security Standard) betrifft alle Geschäftsleute/Unternehmen, die Kreditkartenzahlungen akzeptieren und Kreditkartendaten speichern.

Um den PCI-DSS-Standard einzuhalten, benötigen Sie eine PCI-DSS-konforme Softwareversion. Auf unserer Kompatibilitätsliste ist die aktuelle Liste konformer Versionen aufgeführt.

Wenn Sie Kreditkartendaten verarbeiten oder speichern, können Sie Ihre älteren Softwareversionen so aktualisieren, dass sie dem aktuellen Standard entsprechen.

Der Umfang des Upgrades, das Sie benötigen, hängt von der Softwareversion ab, die Sie derzeit nutzen. Unsere Support- und Vertriebsabteilungen unterstützen Sie gern.

Bitte achten Sie auch auf die Netzwerksicherheit, und stellen Sie sicher, dass sich in Ihrem Netzwerk keine ungeschützten/unverschlüsselten Sicherungskopien oder Schulungssysteme befinden.

Wir bitten Sie, derartige Änderungen nur auf Anweisung der Supportabteilung vorzunehmen. Wir helfen Ihnen dabei, herauszufinden, ob Änderungen der Einrichtung oder Konfiguration erforderlich sind.

Die Versionsnummer wird normalerweise auf dem Bildschirm angezeigt, wenn Sie die Software starten oder ausführen. Wenn Sie die Versionsnummer Ihrer Software nicht finden können, bitten Sie die Supportabteilung um Unterstützung.

Wenn Sie einen aktiven Wartungsvertrag haben, sind Updates kostenlos.

In vielen Fällen (dies ist abhängig vom Produkt) kann ein Update von der zuständigen Supportabteilung per Fernzugriff durchgeführt werden.

Falls Sie eine sehr alte Version verwenden, muss das Update möglicherweise vor Ort durchgeführt werden, und dies ist kostenpflichtig. Je nach Umfang des Upgrades können weitere Kosten entstehen, z. B. für neue Hardware.

Um diese Sicherheitsbestimmungen zu befolgen, sollten Sie keine Kreditkartendaten speichern oder eingeben. Außerdem sollten Sie Ihr System auf eine PCI-DSS-konforme Version aktualisieren.

Bitte wenden Sie sich an Ihre zentrale IT-Managementabteilung, damit diese die Updates koordinieren kann.

Es werden keine Einzelzertifikate ausgegeben. Alle Softwareanbieter, deren Produkte zertifiziert sind, finden Sie auf der offiziellen Website von VISA (List of certified software providers). Dort sind auch die relevanten Softwareversionen aufgeführt. Unternehmen, die nicht auf der Liste stehen, sind nicht zertifiziert und erfüllen die strengen PCI-DSS-Anforderungen nicht. Diese Liste wird regelmäßig von VISA aktualisiert.

Dies hängt von der Softwareversion ab. Genaue Informationen über den Status der Version, die Sie verwenden, erhalten Sie von unserem Supportteam. Möglicherweise wurden auf Ihre Anforderung hin individuelle und unternehmensspezifische Felder zu Ihrer Datenbank/Benutzeroberfläche hinzugefügt. Diese können manuell ausgefüllt werden.

Wenn Sie an keiner Stelle in Ihrem System Kreditkartendaten eingeben oder speichern, ist Ihr Unternehmen PCI-DSS-konform. In diesem Fall benötigen Sie keine Software-Upgrades oder Änderungen der Einrichtung.
Wir haben unser Kreditkartenterminal über MICROS-Fidelio erworben – ist es PCI-DSS-konform?
MICROS-Fidelio verkauft keine Kreditkartenterminals. Bitte wenden Sie sich an Ihren Transaktions-Service-Provider (z. B. Concardis oder Elavon), um weitere Informationen zu erhalten.

MICROS-Fidelio verkauft keine Kreditkartenterminals. Bitte wenden Sie sich an Ihren Transaktions-Service-Provider (z. B. Concardis oder Elavon), um weitere Informationen zu erhalten.

Es ist konform, wenn Sie keine Kreditkartendaten manuell in das Front-Office-System eingeben. Weitere Information finden Sie auch in den offiziellen PCI-DSS-Unterlagen.