Unternehmen mit kartengestützten Bezahlsystemen erreichen damit über einen Kontaktpunkt gleich zwei ausgewiesene Experten zur Informationssicherheit und der sicheren Abwicklung von Kartentransaktionen. Dazu Götz Blechschmidt, DQS-Geschäftsführer: „Informationen sind heute in vielen Unternehmen die wichtigste Geschäftsgrundlage. Dass Kartennummern, PIN oder Bankdaten besonders sensible Daten sind, ist bekannt. Über den PCI DSS Standard erfahren diese Daten einen sehr hohen Schutz. Doch welchen Risiken des so genannten Informationsabflusses Unternehmen darüber hinaus noch ausgesetzt sind, liegt leider nicht immer so klar auf der Hand. Ein Informations-Sicherheits-Management-System auf Basis ISO 27001 sorgt hier für Transparenz und Sicherheit“, so Blechschmidt weiter.
Beide Unternehmen betonen die inhaltlichen Schnittstellen, die die ISO 27001 und PCI DSS aufweisen. „Es gibt bereits heute eine Reihe von Unternehmen, die sich nach beiden Standards zertifizieren lassen. Sie entsprechen damit einerseits den Forderungen der großen Zahlungssystemanbieter und erzielen andererseits ein Höchstmaß an Handlungssicherheit.“, stellt Randolf Skerka, Bereichsleiter Netzwerksicherheit der SRC Security Research & Consulting GmbH, fest. Für Randolf Skerka erlaubt das gemeinsame Angebot von SRC und DQS jetzt erstmals ein One-stop-shopping für zwei Zertifizierungsverfahren in einem Audit. Randolf Skerka: „Dies minimiert die internen Kosten bei dem zu zertifizierenden Unternehmen, da die hierfür erforderlichen Unternehmensressourcen nur einmal im Zertifizierungsprozess gebunden werden“.
Führende Zahlungssystemanbieter wie VISA, MasterCard oder American Express initiierten den Payment Card Industry Data Security Standard, kurz: PCI DSS, um Kartentransaktionen und den Umgang mit Kartendaten sicherer zu machen. Für Händler mit Kredit- oder Debit-Kartenakzeptanz und deren Dienstleistern gilt das PCI DSS-Audit heute nahezu als obligatorisch, wollen sie im Schadensfall nicht mit Vertragsstrafen oder Schadensersatzforderungen konfrontiert werden.
Ein Informations-Sicherheits-Management-System auf Grundlage der Norm ISO 27001 hat zum Ziel, Risiken für das Unternehmen gerade im Hinblick auf die Informationsverarbeitung zu identifizieren, zu analysieren und durch entsprechende Maßnahmen beherrschbar zu machen.