Christopher Kristes, Leiter der NRW-Niederlassung der usd AG, sprach im Rahmen des 15. easycash SEPA Round Tables zum Thema PCI DSS. © easycash GmbH Ratingen, Dezember 2011. Der 15. easycash SEPA Round Table setzte sich mit dem Schutz von Kreditkartendaten in Form des Payment Card Industry Data Security Standard (PCI DSS) auseinander. Dazu hatte easycash, ein Unternehmen der internationalen Ingenico Gruppe (Euronext: FR0000125346 - ING), Experten von Handel und Banken am 29. November nach Frankfurt geladen. In vorweihnachtlicher Kulisse überzeugte Christopher Kristes von der usd AG durch Weitblick und Detailreichtum und initiierte eine rege Diskussion unter dem anwesenden Fachpublikum.
easycash SEPA Round Table
Seit 2007 bietet easycash Handel und Banken mit seiner SEPA Round Table-Reihe ein Forum, auf dem die Entwicklung des europäischen Zahlungsverkehrs aus verschiedensten Blickwinkeln beleuchtet wird. Die 15. Veranstaltung ihrer Art fand unter dem Titel "PCI DSS - mehr Sicherheit für alle oder Weihnachtsgeschenk für Auditoren" statt. Im Ambiente des traditionsreichen Frankfurter Hotel Hessischer Hof sprach Christopher Kristes, Qualified Security Assessor (PCI-Auditor) und Leiter der usd Niederlassung NRW zu Sicherheitsstandards und deren Umsetzung in der Praxis.
PCI DSS - Puzzleteil im Gesamtsicherheitskonzept
Den roten Faden des Tages lieferte Frank Patt, Leiter Account Management & Projektvertrieb bei easycash in seiner Anmoderation - "Datenklau ist Volkssport. Heute werden Daten nicht mehr nur zum Zwecke der Bereicherung entwendet, es macht kriminellen Elementen einfach Spaß, Unternehmen und deren Ruf zu schädigen". So erklärt sich auch die wachsende Zahl von Sicherheitsstandards und Normen, die Christopher Kristes vorstellte: "Die Standards des Payment Card Industry Security Standards Council (PCI SSC) stellen nur einen Ausschnitt dessen dar, woran Unternehmen ihr Sicherheitskonzept ausrichten." Seinen Vortragsfokus legte der Datensicherheitsspezialist in Folge auf den für die Kreditkartenakzeptanz zentralen Standard PCI DSS. "In meinen Augen ist der PCI DSS der konkreteste aller internationalen IT-Sicherheitsstandards", betonte er. Anschließend hob er kurz auf die Vorgehensweise des PCI SSC und die Innovationszyklen des Standards ab. "Da das Thema sowohl den Handel als auch die Service Provider betrifft", so Kristes, gelte es, als Händler auch auf die Einhaltung der PCI-Normen bei den Dienstleistern zu achten: "Es gibt genügend Dienstleister, die die Anforderungen erfüllen - wie beispielsweise easycash." Als weiteren Lösungsansatz zu mehr Sicherheit im Umgang mit Kreditkartendaten empfahl er, die Nutzung von Kreditkartendaten wo möglich zu reduzieren. Von einer technischen Warte aus blickte Kristes zuversichtlich dem nächsten Entwicklungsschritt Anfang 2012 entgegen: Die PCI-Verantwortlichen werden einen Standard zur End-to-End-Verschlüsselung einführen, um den Umfang der PCI DSS Zertifizierung für Händler zu reduzieren. Dieses betrachtete auch Jürgen Schiebel, Bank Direktor Transaction Services der WestLB AG, als enormen Fortschritt: "Daten schon ab dem POS-Terminal zu schützen, ist eine sehr interessante Variante. So muss der Handel nicht all seine Systeme (Kassensystem, Server, etc.) mit hohem Aufwand und Kosten PCI-zertifizieren - und erreicht trotzdem den gewünschten Sicherheitsstandard." Frank Patt ergänzte, dass die technischen Lösungen dazu schon bereitstünden. Ingenico als führender Terminalhersteller beschäftigt sich schon lange damit.
Abschließend gab Kristes noch einmal einen - wenn auch subjektiv gefärbten Ausblick - auf die Entwicklungen angesichts der zahlreichen neuen Zahlverfahren abseits der Kreditkarte: "Wenn neue Zahlverfahren den Anteil der Kreditkartenzahlungen verringern sollten, werden die Angreifer Wege finden, auch diese Verfahren anzugreifen. Die Grundprinzipien der existierenden IT-Sicherheitsstandards, wie beispielsweise die des PCI DSS, können aber auf neue Zahlverfahren übertragen werden und auch damit auch dort für mehr Sicherheit sorgen."
Der nächste easycash SEPA Round Table wird voraussichtlich im Februar 2012 stattfinden.
easycash SEPA Round Table
Seit 2007 bietet easycash Handel und Banken mit seiner SEPA Round Table-Reihe ein Forum, auf dem die Entwicklung des europäischen Zahlungsverkehrs aus verschiedensten Blickwinkeln beleuchtet wird. Die 15. Veranstaltung ihrer Art fand unter dem Titel "PCI DSS - mehr Sicherheit für alle oder Weihnachtsgeschenk für Auditoren" statt. Im Ambiente des traditionsreichen Frankfurter Hotel Hessischer Hof sprach Christopher Kristes, Qualified Security Assessor (PCI-Auditor) und Leiter der usd Niederlassung NRW zu Sicherheitsstandards und deren Umsetzung in der Praxis.
PCI DSS - Puzzleteil im Gesamtsicherheitskonzept
Den roten Faden des Tages lieferte Frank Patt, Leiter Account Management & Projektvertrieb bei easycash in seiner Anmoderation - "Datenklau ist Volkssport. Heute werden Daten nicht mehr nur zum Zwecke der Bereicherung entwendet, es macht kriminellen Elementen einfach Spaß, Unternehmen und deren Ruf zu schädigen". So erklärt sich auch die wachsende Zahl von Sicherheitsstandards und Normen, die Christopher Kristes vorstellte: "Die Standards des Payment Card Industry Security Standards Council (PCI SSC) stellen nur einen Ausschnitt dessen dar, woran Unternehmen ihr Sicherheitskonzept ausrichten." Seinen Vortragsfokus legte der Datensicherheitsspezialist in Folge auf den für die Kreditkartenakzeptanz zentralen Standard PCI DSS. "In meinen Augen ist der PCI DSS der konkreteste aller internationalen IT-Sicherheitsstandards", betonte er. Anschließend hob er kurz auf die Vorgehensweise des PCI SSC und die Innovationszyklen des Standards ab. "Da das Thema sowohl den Handel als auch die Service Provider betrifft", so Kristes, gelte es, als Händler auch auf die Einhaltung der PCI-Normen bei den Dienstleistern zu achten: "Es gibt genügend Dienstleister, die die Anforderungen erfüllen - wie beispielsweise easycash." Als weiteren Lösungsansatz zu mehr Sicherheit im Umgang mit Kreditkartendaten empfahl er, die Nutzung von Kreditkartendaten wo möglich zu reduzieren. Von einer technischen Warte aus blickte Kristes zuversichtlich dem nächsten Entwicklungsschritt Anfang 2012 entgegen: Die PCI-Verantwortlichen werden einen Standard zur End-to-End-Verschlüsselung einführen, um den Umfang der PCI DSS Zertifizierung für Händler zu reduzieren. Dieses betrachtete auch Jürgen Schiebel, Bank Direktor Transaction Services der WestLB AG, als enormen Fortschritt: "Daten schon ab dem POS-Terminal zu schützen, ist eine sehr interessante Variante. So muss der Handel nicht all seine Systeme (Kassensystem, Server, etc.) mit hohem Aufwand und Kosten PCI-zertifizieren - und erreicht trotzdem den gewünschten Sicherheitsstandard." Frank Patt ergänzte, dass die technischen Lösungen dazu schon bereitstünden. Ingenico als führender Terminalhersteller beschäftigt sich schon lange damit.
Abschließend gab Kristes noch einmal einen - wenn auch subjektiv gefärbten Ausblick - auf die Entwicklungen angesichts der zahlreichen neuen Zahlverfahren abseits der Kreditkarte: "Wenn neue Zahlverfahren den Anteil der Kreditkartenzahlungen verringern sollten, werden die Angreifer Wege finden, auch diese Verfahren anzugreifen. Die Grundprinzipien der existierenden IT-Sicherheitsstandards, wie beispielsweise die des PCI DSS, können aber auf neue Zahlverfahren übertragen werden und auch damit auch dort für mehr Sicherheit sorgen."
Der nächste easycash SEPA Round Table wird voraussichtlich im Februar 2012 stattfinden.
