Compliance bei der ZahlungsabwicklungIT-Sicherheit im Handel
PCI ist kein alter Hardwarestandard mehr
Compliance bei der Zahlungsabwicklung
Während deutsche Computerzeitschiften das Kürzel PCI noch als alten Hardwarestandard abtun , nutzen Amerikaner das Kürzel fast nur noch für “Payment Card Industry“. Die Bezahlkarten-Industrie, hierzulande die Anbieter von EC-Karten und Kreditkarten, ist besonders erpicht, die ominöse “Compliance” für ihre Systeme zu erreichen. Der Handel muss dies aber auch.
“Compliance” heißt eigentlich “Einhaltung von Regeln”, in der IT-Welt hat sich der Begriff aber für Systeme eingebürgert, die Daten gesetzeskonform verwalten. Und so kann der Begriff so schön für viele Dinge eingesetzt werden, denn Gesetze gibt es viele. So verwendet man Compliance etwa als Begriff für die sichere Speicherung von Daten – zwar im Rahmen der Datenschutzgesetze, aber immer so viel, dass öffentliche Ämter im Notfall auf die Informationen zugreifen können.
Die englischsprachigen Länder reden nun aber über die “PCI-Compliance” – und meinen damit eigentlich nicht nur die Speicherung, sondern auch die Absicherung von Kundendaten. Weltweite Zahlungsunternehmen haben nach zahlreichen Datenverlusten und Horrorgeschichten über Datendiebstahl nun sogar einen eigenen Standard für PCI-Compliance herausgegeben. An diesem sollen sich die Karten-Anbieter wie auch der Handel orientieren. Selbst Bücher dazu sind schon im Handel.
(Bild: Das PCI-Secutrity-Council hat sich aus Kredikartenfirmen, Banken und US-Politik zusammengetan, um gemeinsame Sicherheitsstandards für die Zahlungsabwicklung vorzugeben..)
Dieser nächste Schritt der Datensicherheit für Kartengeschäfte benötige aber operationale Veränderungen in den Firmen und nicht nur eine einmalig durchgeführte technische Veränderung, mahnt Ross Brewer, Vizepräsident der Firma LogLogic. Die kalifornische Firma profitiert eigentlich von technischen Aufträgen, alle Vorkommnisse mitzuloggen und auszuwerten. Doch so, wie beispielsweise der deutsche ERP-Anbieter Seeburger bei RFID mehr an der Beratung als an seiner Software verdient und so, wie die Anbieter von NFC-Lösungen (near field communication) bei drahtloser Payment-Übertragung in ähnliche Fußstapfen treten, hat die US- Firma LogLogic auch ein Interesse daran, vom nötigen “Drumherum” um die Zahlungssicherheit zu leben
BI für Logfiles sichert Daten-Compliance
Compliance bei der Zahlungsabwicklung
Eine Art “superschnelle Business Intelligence für die technisch anfallenden Logfiles” sei nötig, um nicht nur Käufer besser zu bedienen, sondern auch um den Missbrauch von Zahlungssystemen zu erkennen. Um ihren guten Ruf zu halten, verändere sich die Handelslandschaft und investiere daher momentan sehr viel in diesem Bereich, freut sich Brewer.
(Bild: LogLogic vermarktet sich als automatisierter Datenauswerter, um Verstöße gegen die Compliance schnell zu entdecken)
Der Leitfaden zur PCI-Compliance ist eine Erweiterung zu den Payment-Industry-Standards zum Schutz von Kartenbesitzern. Letzterer wurde schon 2004 herausgegeben, um den Wildwuchs eigener Sicherheitsstandards der verschiedenen Kreditkartenfirmen und Banken zu verhindern.
Doch was nutzt das alles, wenn standardisierte Daten zwar für Security-Checks vorliegen, aber sie trotzdem im Lauf des Kaufvorgangs und danach in die falschen Hände geraten können?
Und so wird im Standard ein Prozess für den Handel festgelegt, der beschreibt, an welcher Stelle welche Art von Missbrauch passieren kann und wie man ihn verhindert. Kurz zusammengefasst gibt das Werk vor, wie man den gesamten Verlauf der Zahlungskartenbearbeitung managt und absichert.
Ohne laufende Auswertung aber ist dies nicht so einfach – und da kommen Firmen wie LogLogic und die kürzlich von IBM gekaufte AptSoft ins Spiel. Ihr Software hilft, auf Unregelmäßigkeien rechtzeitig aufmerksam gemacht zu werden und die Compliance sicherzustellen.
Software reicht nicht
Compliance bei der Zahlungsabwicklung
Das Handbuch dazu steht zum Download für den Handel bereit, doch wer es liest, sieht sich erst einmal mit einer Menge Arbeit konfrontiert: Myriaden von Sicherheits-Audits und -Prozeduren zu technischer wie organisatorischer Sicherheit sind hier niedergeschrieben. Und hier liegt das Hauptptoblem für den Handel: Weil die Zeit für diese genaue Compliance-Einhaltung nicht da ist, tendieren die Meisten dazu, schnell mal eben die Compliance des Zahlungsverkehrs einem dritten Sicherheitsanbieters zu überlassen. Und der ist meist am schnellen Umsatz interessiert.
Brewer von LogLogic meint, viele Firmen machten es sich zu einfach und würden hier nur in ein einmaliges Absichern investieren, nicht aber in dauerhafte Lösungen, die ständig jeden Schritt dieser Sicherheits-Compliance abdecken. Man würde sich dabei zu sehr auf reine Technologie konzentrieren. Ein Stück Hard- oder Software könnte das aber nicht erledigen. Um also “PCI-compliant” zu sein, müsse man die Organisation des laufenden Geschäfts und nicht nur die Technik ändern.
Jetzt müsste sich der Handel darauf einstellen, um Kunden auch im elektronischen Geschäft, etwa über das Web zu gewinnen. Insbesondere internationale Großkunden würden künftig auf die PCI-Compliance Wert legen – wer nicht “compliant” sei, mache weniger Umsatz. Und da, so fügt Brewer listig an, sei doch auch die Auswertung dessen, was bei der Zahlung passiert, wichtig – und preist nicdht ganz zu unrecht seine Software und Dienstleistung an, die unkoscheres Zahlungsverhalten und andere Absonderlichkeiten durch Auswertung der Zahlungs-Logs erkennen kann.