Was sind Karteninhaberdaten?

Cardholder Data (CHD) sind Informationen über eine Zahlungskarte, die durch den Payment Card Industry Data Security Standard (PCI DSS) geschützt sind. Dazu gehören die vollständige primäre Kontonummer (PAN) und möglicherweise der Name des Karteninhabers, das Ablaufdatum und der Servicecode.

CHD sind die Informationen, die nach Abschluss der Transaktion verfügbar sind, darunter der Name des Karteninhabers, das Ablaufdatum der Karte und die primäre Kontonummer (PAN). 

Der Schutz von Kreditkartendaten (CHD) ist aus mehreren Gründen wichtig. Die Einhaltung der Kundenvorschriften ist entscheidend, um das Vertrauen zu erhalten, die Vorschriften einzuhalten und finanzielle Strafen zu vermeiden. Verschlüsselung und andere Sicherheitsmaßnahmen sind unerlässlich, um die Sicherheit sensibler Daten zu gewährleisten und den möglichen Schaden einer Datenpanne zu reduzieren.

Finanzielle Verluste können auf verschiedene Weise entstehen, einschliesslich Identitätsdiebstahl und betrügerischen Käufen. Die Beschränkung des unbefugten Zugriffs auf sensible CHD-Daten ist entscheidend, da sie das Risiko potenzieller finanzieller Verluste minimieren kann. Jedes Unternehmen, das Kreditkartendaten verarbeitet, muss das Vertrauen seiner Kunden erhalten. Der Schutz von CHD ist für Unternehmen entscheidend, um die Compliance zu gewährleisten und ihre Glaubwürdigkeit in Bezug auf Datensicherheit zu stärken.

Die Verletzung von Karteninhaberdaten (CHD) kann erhebliche Auswirkungen auf Verbraucher, Finanzinstitute und Einzelhändler haben. Finanzielle Verantwortlichkeiten, hohe Bußgelder, Anwaltskosten, Entschädigungskosten, Rufschädigung und ein Verlust des Kundenvertrauens sind mögliche Folgen von Sicherheitsverletzungen.

Um diese Risiken zu reduzieren, ist die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) unerlässlich. Zusätzliche finanzielle Strafen und eine Schädigung des Rufs können bei Nichteinhaltung die Folge sein. 

Sensible Authentifizierungsdaten (SAD) und Karteninhaberdaten (CHD) sind zwei Datenkategorien, die für die Zahlungsabwicklung entscheidend sind. CHD enthält Daten wie die primäre Kontonummer (PAN), den Namen des Karteninhabers und das Ablaufdatum der Zahlungskarte, die nach einer Transaktionsbestätigung gespeichert werden dürfen.

Zur Authentifizierung von Karteninhabern umfasst SAD Komponenten wie die PIN, Spurdaten vom Magnetstreifen oder EMV-Chip und den Kartenprüfwert (CVC, CVV oder CID). Da CHD und SAD unterschiedliche Sicherheitsanforderungen haben, ist es wichtig zu verstehen, wie sie sich unterscheiden. 

• Händler dürfen CHD speichern, aber wenn sie dies tun, muss es verschlüsselt werden. Selbst wenn SAD verschlüsselt ist, dürfen Unternehmen es nach der Autorisierung nicht speichern. 
• Händler können CHD behalten, da es weniger sensibel ist als SAD.
• Händler können Kundentransaktionen mithilfe von CHD verfolgen.
• Händler sollten SAD nicht speichern, da es sensibler ist als CHD.
• Händler können Kundentransaktionen nicht mit SAD verfolgen. 

Alle an Kartentransaktionen beteiligten Organisationen, einschliesslich Banken, Zahlungs-Gateways, Händler und Dienstleister, müssen PCI DSS einhalten. Dies gilt für jedes Unternehmen, unabhängig von Grösse oder Transaktionsvolumen, das Kreditkarteninformationen verarbeitet, speichert oder überträgt. 

Um die Sicherheit der Karteninhaberdaten während Transaktionen und Speicherung zu gewährleisten, muss sich jede beteiligte Organisation an diesen Prozess halten. Vertragliche Anforderungen und jährliche Compliance-Validierungen sind in den Vereinbarungen der Kreditkartennetzwerke festgelegt und werden von den Kreditkartenunternehmen gefordert. 

Drittanbieter (TPSPs) müssen bei der Verarbeitung von Zahlungskarten ebenfalls den Payment Card Industry Data Security Standard (PCI DSS) einhalten. SaaS-Unternehmen müssen die PCI-DSS-Konformität ihrer TPSPs mindestens einmal alle 12 Monate verwalten und überwachen. 

TPSPs müssen ihre PCI-DSS-Konformität gegenüber den SaaS-Organisationen nachweisen, um sie durch ein jährliches PCI DSS zu verifizieren Compliance-Audit oder mehrere, stichprobenartige Audits des TPSP. Ein SaaS-Unternehmen sollte einen Plan erstellen, um den PCI-DSS-Compliance-Status der TPSPs jährlich zu verfolgen und alle PCI-DSS-Anforderungen, die in der Verantwortung des TPSP liegen, im Auge zu behalten. 

Letztendlich sind SaaS-Unternehmen für ihre eigene PCI-DSS-Konformität verantwortlich. Sie müssen sicherstellen, dass ihre TPSPs konform sind, da diese die Sicherheit der Karteninhaberdatenumgebung beeinflussen.

Finanzielle Strafen, Rufschädigung, Verlust des Kundenvertrauens und verpasste Geschäftsmöglichkeiten sind nur einige schwerwiegende Folgen der Nichteinhaltung von PCI DSS.

Darüber hinaus riskieren nicht konforme Unternehmen rechtliche Konsequenzen, höhere Transaktionskosten, strengere Auditstandards oder die Beendigung von Bankpartnerschaften. In schwerwiegenden Fällen kann die Nichteinhaltung zum Konkurs führen.

Zahlungskartenunternehmen können den Acquirer-Banken Geldstrafen auferlegen und die Strafen an die Händler weitergeben. Insbesondere kann die Nichteinhaltung von PCI DSS zu Geldstrafen von 5.000 bis 100.000 US-Dollar pro Monat führen, bis die Konformität erreicht ist.

Kartendaten sind möglicherweise nicht ausgenommen von PCI-DSS-Anforderungen wenn nur Verschlüsselung verwendet wird. Systeme, die verwalten Verschlüsselung Verschlüsselung und Entschlüsselung fallen unter die Autorität von PCI DSS, ebenso wie jede Umgebung, die Karteninhaberdaten enthält, selbst wenn diese verschlüsselt sind. Die Systeme, die Verschlüsselung und Entschlüsselung verwalten, fallen jedoch in den Geltungsbereich von PCI DSS, verschlüsselte Karteninhaberdaten hingegen nicht. In Umgebungen, in denen Karteninhaberdaten vorhanden sind, entbindet die Verschlüsselung nicht von der PCI-DSS-Anforderung.