„Payment Card Industry – Data Security Standard (PCI-DSS)“
Jedes Hotel, das Kreditkartendaten verarbeitet, übermittelt oder speichert, muss hinsichtlich der Datensicherheit eine Anzahl von Richtlinien einhalten. Dafür wurde von der Kreditkartenindustrie der so genannte PCI-DSS Standard entwickelt. Ziel dieser Vorgehensweise ist es, dass alle Geschäftsleute, die Kreditkarten dieser Unternehmen akzeptieren, sich strikt an den Sicherheitsstandard der Kreditkartenunternehmen „Payment Card Industry – Data Security Standard“ (PCI-DSS) halten. Der Vorgänger hieß „Cardholder Information Security Program“ (CISP, Programm für die Sicherheit von Karteninhaberinformationen).
Die RHC Real Hotel Controlling GmbH empfiehlt, dass sich jedes Hotel mit diesen Standards vertraut macht und sie konsequent umsetzt.
Um den PCI-DSS-Standard einzuhalten, benötigen Sie PCI-DSS-konforme Software in allen Bereichen, in denen Ihr Hotel Kreditkarteninformationen speichert oder verarbeitet. PCI – DSS Konform sollten auf jeden Fall die Software Ihres Property Management/ Front Office Systems sein, aber auch die Web Booking Engine (Software zur Onlinebuchung), der Channel Manager oder ein Gutscheinshop, falls Sie so etwas einsetzen.Bitte achten Sie auch auf die Netzwerksicherheit, und stellen Sie sicher, dass sich in Ihrem Netzwerk keine ungeschützten/unverschlüsselten Sicherungskopien oder Schulungssysteme befinden, in denen vielleicht noch Kreditkartendaten hinterlegt sind.
Achten Sie auch auf vermeintliche Kleinigkeiten: Sollte Ihnen beispielsweise ein Gast seine Kreditkarten-Details per E-Mail übermitteln, ist diese Mail (nach dem Ausdruck)vollständig zu löschen. Alle Mitarbeiter müssen im Umgang mit Kreditkartendaten geschult und sensibilisiert sein.
Folgende Anforderungen werden im Rahmen einer PCI Zertifizierung geprüft:
- Einrichtung und Instandhaltung der einer zeitgemäßen Firewall-Konfiguration zum Schutz der Daten
- Keine Verwendung der von Händlern ausgelieferten und voreingestellten System-Passwörter bzw. anderer Sicherheitsparameter (passiert häufiger, als man denkt)
- Schutz der gespeicherten Daten durch entsprechende Prozesse
- Ausschließlich verschlüsselte Übertragung von Karteninhaberdaten und sensibler Informationen über öffentliche Netze (nie Kreditkarten per E-Mail versenden).
- Gebrauch und regelmäßige Aktualisierung der Antivirenprogramme
- Entwicklung und Aufrechterhaltung von sicheren Systemen und Anwendungen
- Beschränkung des Zugriffs auf die Daten nach dem „wer muss was wissen“-Prinzip
- Zuweisung von eindeutigen Kennungen an alle Personen mit Computerzugriff, damit Sie nachvollziehen kann, wer ggf. Daten ändert oder exportiert
- Einschränkung des physischen Zugangs zu Karteninhaberdaten
- Verfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen sowie Karteninhaberdaten
- Regelmäßige Prüfungen der Sicherheitssysteme und -prozesse
- Aufrechterhaltung von Informationssicherheitspolitik
Wenn es zu einem Diebstahl von Kreditdaten kommt, wird vom Staatsanwalt zuerst geprüft, ob Sie alles unternommen haben, um die Daten zu schützen. Daher ist dies ein wichtiges Thema für jedes Hotel, welches Kreditkarten annimmt und verarbeitet.
Einen umfangreichen Leitfaden für die Hotellerie bietet der Dienstleister Concardis. Wir empfehlen den
Download. Und hier lesen Sie noch eine Geschichte, die zeigt was in der Realität passieren kann. Der
Blog der Martens & Prahl Hotelversicherungen zeigt es.
