„Payment Card Industry – Data Security Standard (PCI-DSS)“
Jedes Hotel, das Kreditkartendaten verarbeitet, übermittelt oder speichert, muss hinsichtlich der Datensicherheit eine Anzahl von Richtlinien einhalten. Dafür wurde von der Kreditkartenindustrie der so genannte PCI-DSS Standard entwickelt. Ziel dieser Vorgehensweise ist es, dass alle Geschäftsleute, die Kreditkarten dieser Unternehmen akzeptieren, sich strikt an den Sicherheitsstandard der Kreditkartenunternehmen „Payment Card Industry – Data Security Standard“ (PCI-DSS) halten. Der Vorgänger hieß „Cardholder Information Security Program“ (CISP, Programm für die Sicherheit von Karteninhaberinformationen).
Die RHC Real Hotel Controlling GmbH empfiehlt, dass sich jedes Hotel mit diesen Standards vertraut macht und sie konsequent umsetzt.
Um den PCI-DSS-Standard einzuhalten, benötigen Sie PCI-DSS-konforme Software in allen Bereichen, in denen Ihr Hotel Kreditkarteninformationen speichert oder verarbeitet. PCI – DSS Konform sollten auf jeden Fall die Software Ihres Property Management/ Front Office Systems sein, aber auch die Web Booking Engine (Software zur Onlinebuchung), der Channel Manager oder ein Gutscheinshop, falls Sie so etwas einsetzen.Bitte achten Sie auch auf die Netzwerksicherheit, und stellen Sie sicher, dass sich in Ihrem Netzwerk keine ungeschützten/unverschlüsselten Sicherungskopien oder Schulungssysteme befinden, in denen vielleicht noch Kreditkartendaten hinterlegt sind.
Achten Sie auch auf vermeintliche Kleinigkeiten: Sollte Ihnen beispielsweise ein Gast seine Kreditkarten-Details per E-Mail übermitteln, ist diese Mail (nach dem Ausdruck) vollständig zu löschen. Alle Mitarbeiter müssen im Umgang mit Kreditkartendaten geschult und sensibilisiert sein. Sie dürfen Gäste nicht auffordern die Kreditkarten-Information per E-Mail zu senden.
Folgende Anforderungen werden im Rahmen einer PCI Zertifizierung geprüft:
- Einrichtung und Instandhaltung der einer zeitgemäßen Firewall-Konfiguration zum Schutz der Daten
- Keine Verwendung der von Händlern ausgelieferten und voreingestellten System-Passwörter bzw. anderer Sicherheitsparameter (passiert häufiger, als man denkt)
- Schutz der gespeicherten Daten durch entsprechende Prozesse
- Ausschließlich verschlüsselte Übertragung von Karteninhaberdaten und sensibler Informationen über öffentliche Netze (nie Kreditkarten per E-Mail versenden).
- Gebrauch und regelmäßige Aktualisierung der Antivirenprogramme
- Entwicklung und Aufrechterhaltung von sicheren Systemen und Anwendungen
- Beschränkung des Zugriffs auf die Daten nach dem „wer muss was wissen“-Prinzip
- Zuweisung von eindeutigen Kennungen an alle Personen mit Computerzugriff, damit Sie nachvollziehen kann, wer ggf. Daten ändert oder exportiert
- Einschränkung des physischen Zugangs zu Karteninhaberdaten
- Verfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen sowie Karteninhaberdaten
- Regelmäßige Prüfungen der Sicherheitssysteme und -prozesse
- Erstellung und Umsetzung von Sicherheitsrichtlinen, die allen Mitarbeiter mit Zahlungsfunktionen nachweisbar zugänglich gemacht werden muss.
Wenn es zu einem Diebstahl von Kreditkartendaten kommt, wird vom Staatsanwalt zuerst geprüft, ob Sie alles unternommen haben, um die Daten zu schützen. Daher ist dies ein wichtiges Thema für jedes Hotel, welches Kreditkarten annimmt und verarbeitet. Zusätzlich zu diesen Maßnahmen müssen Hotels regelmäßig PCI-DSS-Bewertungen durchführen, entweder durch Selbstbewertungsfragebögen (SAQ) oder durch Audits von qualifizierten Sicherheitsprüfern (QSA), abhängig von der Anzahl der jährlich verarbeiteten Transaktionen. Es ist auch wichtig, sich über die neuesten Sicherheitsbedrohungen und PCI-DSS-Updates auf dem Laufenden zu halten, um die Sicherheitsmaßnahmen entsprechend anzupassen.
Eine Checkliste aus dem Hause Concardis (NEXI) empfiehlt auch der Deutsche Hotelverband.
>zur Checkliste<