th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

PCI-DSS Compliance für Reisebüros

Der Payment Card Industry Data Security Standard (PCI bzw. PCI-DSS) ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. 

Der PCI DSS Standard wurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen. Er liefert grundlegende technische und betriebliche Anforderungen zum Schutz von Kontodaten. Der PCI-DSS gilt für alle Einrichtungen, die mit Zahlungskarten arbeiten (einschließlich Vertragsunternehmen, EDV-Dienstleistern, abrechnenden Stellen, Kartenemittenten und Dienstleistern) und die Karteninhaberdaten und/oder vertrauliche Authentifizierungsdaten speichern, verarbeiten oder übertragen.

Grundsätzlich ist jedes Unternehmen verpflichtet, eine Selbsteinschätzung gemäß den Vorgaben des Kreditkartenanbieters vorzunehmen. Danach sind je nach Umsatzhöhe und Art der Kreditkartendaten-Verwendung entsprechende Fragebögen auszufüllen und ggf. je nach Risiko Maßnahmen zu treffen (z.B. Schwachstellenscans, Auditbericht durch ein befugtes Unternehmen, …).

Wie vielen bereits bekannt ist, fordert die IATA ab 1. März 2018 die Einhaltung der Vorschriften aktiv ein. Wir möchten aber darauf hinweisen, dass auch Nicht-IATA Reisebüros den Anforderungen entsprechen müssen, wenn Kreditkartenzahlungen akzeptiert werden. Bitte prüfen Sie diesbezüglich Ihren Vertrag mit dem Kreditkarteninstitut. 

Hier finden Sie die Unterlage des Vortrags von Ralph Wörn (www.adsigno.com) vom 21.7.2017 . In Kapitel 3 der Unterlagen PCI DSS finden Sie einen Leitfaden zur Klassifizierung Ihres Unternehmens. Sie erfahren, in welches LEVEL Ihr Unternehmen fällt und welcher Fragebogen/welche Fragebögen für Ihre Selbstauskunft (SBF) bearbeitet werden müssen. Die "SBF"-Fragebögen finden Sie hier.


Achtung!
  • In nicht zertifizierten Midoffice Systemen keine Kreditkartendaten speichern!
  • Wenn möglich keine Kreditkartendaten am eigenen PC oder Server speichern (Datenbanken, Excel Listen, Buchhaltung,…). Falls doch, müssen entsprechende Sicherheitsvorkehrungen getroffen werden
  • Aufpassen bei der Übertragung der Kreditkartendaten bei Direktinkasso (Lösung: Lediglich Übertragung eines Tokens)
  • Firewall + Virenscanner installieren, ggf. Sicherheitsüberprüfung durch geplanten Hackerangriff!

Als Erleichterung für die Betriebe haben uns einige der größten Zahlungsdiensteanbieter ihr PCI DSS Compliance Zertifikat zur Verfügung gestellt. Dieses sollten Sie, gemeinsam mit ihren eigenen ausgefüllten Fragebögen zu den Akten legen.

Amadeus

Card Complete

Midoco

Sabre

Six Payment

Travelport

Mehr folgen noch.

Über keine Zertifizierung verfügen:

My Jack

Jack Plus

In diesen Programmen dürfen daher keine Zahlungsdaten gespeichert werden.