Der Payment Card Industry Data Security Standard (oder kurz PCI-DSS) beschreibt Maßnahmen um nicht nur die Daten Ihrer Kunden, sondern auch Ihre Daten und damit Ihr Geschäft zu schützen. Hierbei geht es nicht nur um Kreditkarten Informationen denn der Standard beschreibt wichtige Merkmale, welche generell für ein sicheres Hosting von Online Shops gelten.
Im Rahmen von PCI-DSS erfolgt eine Überprüfung Ihres Online Shops und der hiermit verbundenen Systeme. Diese Prüfung umfasst die Beschreibung der getroffenen Sicherheitsmaßnahmen wie auch einen online Tests auf bekannte Schwachstellen. Diese Tests werden in regelmäßigen Abständen ausgeführt. Dies gewährleisten das Ihre Systeme den aktuellsten Sicherheitsanforderungen entsprechen.
Wir Unterstützen Sie hierbei mit zahlreichen Maßnahmen und unsere Experten Betreuen Sie vor und während den Tests, wie auch bei der Implementierung der Anforderungen. Auf Wunsch kümmern wir uns auch selbst um die regelmäßige Durchführung. Folgende Übersicht zeigt Ihnen die Anforderungen und wie wir Sie hierbei unterstützen:
PCI-DSS Anforderung | Unsere Unterstützung |
---|---|
Implementierung einer Firewall | Alle bei IDNT gehosteten Systeme sind grundsätzlich durch von unseren Sicherheitsexperten verwaltete und mehrstufig aufgebaute Firewalls geschützt. Sie können mit unseren Experten gemeinsam die Regeln entwerfen und bestimmen, wie Ihre Anwendung geschützt werden soll und ungewünschter Datenverkehr gefiltert wird. |
Sicheres Speichern der Kundendaten | Informationen über den Eigentümer einer Kreditkarte müssen besonders geschützt werden. Um dies zu gewährleisten muss die von Ihnen genutzte Software entsprechende Sicherheitsmechanismen bereitstellen. Wir unterstützen Sie gerne bei der Evaluierung und Implementierung. |
Keine Standard- Kennwörter | Alle herstellerspezifischen Standard- Kennwörter müssen auf ein sicheres Kennwort geändert werden. Zugangsdaten zu sensiblen Bereichen dürfen generell nur Personen zugänglich sein, welche hierauf zwingend Zugriff haben müssen. |
Gesicherte Übertragung über unsichere Netzwerke | Die Übertragung sensibler Daten wie Personen- und Kreditkartendaten muss grundsätzlich verschlüsselt erfolgen. Das Verfahren hierbei muss aktuellen Sicherheitsanforderungen entsprechen. IDNT unterstützt Sie hierbei zum Beispiel durch unser SSL- Offloading, welches die bestmögliche Verschlüsselung mit dem Browser des Besuchers aushandelt und die Nutzung gefährliche Algorithmen unterbindet. Weiterhin unterstützen wir Sie bei der Wahl geeigneter SSL Zertifikate und übernehmen auf Wunsch die regelmäßige Erneuerung und Installation. |
Entwicklung und stetige Wartung für sicherer Systeme | Im Rahmen unseres Content Delivery Networks bieten wir Ihnen eine speziell auf Webzugriffe ausgelegte Anwednungs- Firewall, welche jede Verbindung zu Ihren Systemen prüft. Mittels frei definierbarer Regeln kann diese an Ihre Anwendung angepasst werden. Unser Team übernimmt die Pflege und Optimierung dieses Systems, welches einen Großteil der Berohungen bereits im Vorfeld eliminiert. Wir unterstützen Sie und Ihre Software Entwickler zudem gerne mit Code Reviews und Best Practice Informationen. |
Einschränkung des Zugriffs auf sensible Informationen | Sensible Informationen wie zum Beispiel Personen- und Kreditkarteninformationen dürfen ausschließlich Personen zugänglich sein, welche hierauf zwingend Zugriff benötigen. Die Zugänge müssen grundsätzlich einer einzelnen Person zugeordnet sein, so das Zugriffe nachvollziehbar sind. Durch die IDNT Identity Services haben Sie automatisch ein hervorragendes Werkeug um Zugriffe auf alle Ihre Informationen im Detail steuern zu können. |
Eindeutige Benutzerkennungen | Jeder Zugriffsberechtigte muss eindeutig identifizierbar sein, so dass Zugriffe nachvollziehbar und einer Person zugeordnet werden können. Durch die IDNT Identity Services ist dies automatisch der Fall da alle Zugriffe auf bei IDNT gespeicherte Informationen grundsätzlich personenbezogen autorisiert werden. |
Two-Factor Authentication | Kennwörter stellen jeher in zahlreicher Hinsicht als alleiniges Authentifizierungsmerkmal ein Problem dar. Über die IDNT Identity Services und das IDNT Console Gateway ist für den Zugriff auf Ihre Systeme automatisch die Two Factor Authentication aktiv. Neben Benutzer, Kennwort und Schlüsseldatei wird für den Zugriff ein einmalig nutzbarer Code and das Mobiltelefon des Benutzers gesendet. Nur die gültige Kombination dieser Faktoren ermöglicht den Zugriff auf die Systeme. Damit kann zum Beispiel ein verloren gegangenes Kennwort kein Sicherheitsproblem mehr darstellen. |
Einschränkung des physikalischen Zugriffs | IDNT Rechenzentren erfüllen die höchsten Sicherheitsstandards und werden durch regelmäßige Kontrollen auf deren Sicherheit geprüft. Der physikalische Zugriff ist ausschließlich einigen wenigen Mitarbeitern möglich und wird durch zahlreiche Maßnahmen wie Videoüberwachung und Zutrittskontrollen bis zu jedem einzelnen System hin überwacht. Da wir ausschließlich mit in unserem Eigentum befindlichen Infrastruktur arbeiten und auch keine Co-Location Services anbieten, ist der Zugang für andere Personen oder auch Besucher grundsätzlich nicht möglich. |
Regelmäßige Tests der Sicherheitsvorkehrungen | Unsere Spezialisten überwachen laufend alle von uns getroffenen Sicherheitsvorkehrungen und entwickeln laufend auf aktuelle Bedrohungen angepasste Lösungen. Regelmäßige Zertifizierungen und Sicherheitsüberprüfungen garantieren dauerhaft die höchsten Sicherheitsstandards. |
Verpflichtung zur Einhaltung von Datenschutz- und Sicherheitsbestimmungen für alle Mitarbeiter | Hierzu müssen Sie innerbetrieblich entsprechende Maßnahmen ergreifen, sollten Sie dies noch nicht getan haben. IDNT unterstützt Sie zum Beispiel durch die Bereitstellung einer Vereinbarung zur Auftragsdatenverarbeitung. |