Laut Visa wird es in den kommenden zwei Monaten neue Security-Regeln für alle Organisationen geben, die Kreditkartendaten verarbeiten. Dabei handelt es sich um eine Aktualisierung des vor einem Jahr eingeführten PCI-Standards, der sich Analysten zufolge nach einem schleppenden Start nun langsam, aber sicher durchsetzt. PCI-compliant sind nach Angaben von Visa bereits 22 Prozent der Tier-1-Händler, die monatlich mehr als sechs Millionen Kartentransaktionen verarbeiten. Weitere 72 Prozent befänden sich zumindest auf dem Weg dorthin.
Der Ende Juni 2005 weltweit eingeführte PCI-Standard enthält Vorgaben im Hinblick auf die Sicherung der Netze, den Schutz der Kreditkartendaten sowie die regelmäßige Überprüfung der Security-Systeme. Sie umfassen Aspekte wie Datenverschlüsselung, Endnutzer-Zugangskontrolle sowie aktives Monitoring und verfahrensbezogene Vorgaben. Organisationen, die gegen diesen Standard verstoßen, riskieren Strafgebühren oder dürfen im schlimmsten Fall keine Kreditkartendaten mehr verarbeiten.
Ein Set der PCI-Erweiterungen ziele darauf ab, sensible Kreditkartendaten vor den zunehmenden Bedrohungen auf Web-Applikationsebene zu schützen, so Eduardo Perez, Vice President Corporate Risk and Compliance bei Visa USA. Andere Neuerungen wiederum sollen Unternehmen zwingen, nur mit Organisationen (etwa Web-Hostern) zusammenzuarbeiten, die ebenfalls angemessene technische und organisatorische Kontrollen zur sicheren Handhabung von Kreditkarteninformationen einsetzen.
Der PCI-Standard könnte sich weiter verschärfen. So würden die Unternehmen bislang lediglich dazu ermutigt, Zahlungsapplikationen einzusetzen, die sich an bestimmten Best Practices orientierten, so Perez. In den kommenden zwei Jahren werde dies jedoch Pflicht. (kf)