Ein Leitfaden von Elavon
Schnelles Handeln ist überlebenswichtig
Unternehmen, die Kartenzahlungen akzeptieren, müssen die Daten Ihrer Kunden vor Diebstahl durch Hackerangriffe, Betrug oder andere kriminelle Handlungen schützen. Regelmäßig wird von schwerwiegenden Fällen berichtet.
Betrüger können Systeme ins Visier nehmen, die zur Speicherung, Verarbeitung oder Übertragung von Kateninhaberdaten verwendet werden. Diese Systeme können einem Unternehmen oder einem Drittanbieter gehören, der in dessen Auftrag arbeitet.
In Fachkreisen bezeichnet man einen solchen Vorstoß als Account Data Compromise (ADC, Kompromittierung von Kontodaten).
Sollte Ihr Unternehmen von einem ADC betroffen sein, ist es wichtig, dass Sie bereits über einen eigenen, auf Ihr Unternehmen zugeschnittenen Notfallplan verfügen, um wirkungsvoll reagieren zu können. Dieser Leitfaden wird Ihnen dabei helfen.
Verstöße von vornherein vermeiden
Der Datensicherheitsstandard der Zahlungskartenindustrie (Payment Card Industry Data Security Standard, PCI DSS) dient dazu, den Schutz vertraulicher Daten zu verbessern, stellt jedoch keine Garantie für deren Sicherheit dar. Deshalb müssen Unternehmen Maßnahmen ergreifen, um sich selbst und ihre Kunden zu schützen. Elavon gibt Ihnen hierfür wichtige Tipps. Haben Sie darüber hinaus Fragen, so helfen wir Ihnen gerne.
Wenn Sie einen ADC feststellen oder auch nur vermuten, befolgen Sie diese Schritte:
Schritt 1
Setzen Sie sich umgehend mit unserem Global Client Security Team unter ADCqueries-EU@elavon.com in Verbindung.
Schritt 2
Nehmen Sie die betroffenen Geräte offline, aber schalten Sie sie nicht aus und nehmen Sie keine Änderungen vor.
Schritt 3
Greifen Sie nicht auf infizierte Systeme zu und verändern Sie diese nicht. So vermeiden Sie, unbeabsichtigt Spuren des Angreifers zu verwischen.
Schritt 4
Greifen Sie auf Ihren Notfallplan zurück und informieren Sie alle relevanten Stakeholder, wie z. B. externe Dienstleister, Rechts- und PR-Abteilung sowie Kundenservice, welche an der Aufarbeitung des Vorfalls mitwirken müssen.
Untersuchung der Ereignisse
Sobald ein Fall bekannt wird, muss ein forensischer PCI-Ermittler (PCI Forensic Investigator, PFI) eingeschaltet und folgender Ablauf befolgt werden:
- Innerhalb von fünf Tagen müssen Sie einen PFI benannt haben
- Innerhalb von 10 Tagen müssen Sie mit dem PFI einen Vertrag unterzeichnet haben
- Innerhalb der nächsten 5 Tage muss der PFI seine Arbeit aufnehmen
Elavon unterstützt Sie bei der Aufarbeitung
Kartenorganisationen handhaben einen ADC unterschiedlich
Wie ein ADC behandelt werden muss hängt von der Kartenorganisation ab (Visa, Mastercard, American Express, Diners oder JCB), die in den Vorfall involviert ist.
Bei Visa gibt es zwei Arten von Untersuchungen, abhängig von der Kundengruppe und der Anzahl und Art der verarbeiteten Transaktionen.
Vollständiger PFI:
- Kunden, die mehr als 10.000 Transaktionen verarbeiten
- Kunden, die Transaktionen über ein virtuelles Terminal verarbeiten
- Bereits geschädigte Kunden, die den PFI Lite-Prozess nicht erfolgreich durchlaufen haben
- Kunden, die Point-of-Sale-Transaktionen verarbeiten, die einem ADC unterliegen
Hinweis: Alle Kartenorganisationen werden durch unser Client Security Team benachrichtigt.
PFI Lite
- PCI Level 4-Kunden
- Kunden mit maximal drei elektronischen Geräten, z. B. Webseite, Server und Datenbank
- Kunden, die weniger als 10.000 Transaktionen abwickeln
- Kunden, die kein virtuelles Terminal nutzen
Hinweis: Nur Visa unterstützt die PFI Lite-Untersuchung. Wenn Sie die Kriterien nicht erfüllen, müssen Sie eine vollständige PFI-Untersuchung durchführen.
Mit welchen Gebühren müssen Sie rechnen?
Visa erhebt unterschiedliche Gebühren. So gibt es eine Pauschalgebühr von 3.000 € für alle Fälle, die Kosten für vollständige PFI-Untersuchungen können jedoch höher sein.
Vollständige PFI – Kunden mit mehr als 10.000 Transaktionen:
- 3 € pro betroffener Karte (Kartennummer)
- 18 € pro betroffener Karte (Kartennummer und Sicherheitscode)
- 3000 € Pauschalgebühr
PFI Lite – Kunden mit weniger als 10.000 Transaktionen:
- 3000 € Pauschalgebühr
- Wird der PFI Lite-Prozess eingehalten, fallen keine weiteren Gebühren an
Elavon kann Sie bei der Reduzierung der ADC Gebühren unterstützen
Bei einer frühzeitigen Anzeige und der korrekten Meldung des PCI Compliance Status an die Kartenorganisationen ist es möglich, die ADC-Gebühr um 25-100% zu reduzieren.
Es ist daher unabdingbar, dass Sie sich umgehend mit uns in Verbindung setzen, wenn Sie einen ADC feststellen oder auch nur vermuten. Nur so können wir Ihnen bestmöglich helfen und die anfallenden Gebühren reduzieren.
Einem verified by Visa-Kunden, bei dem ein ADC eintritt und für den sich die Gebühr nach der Anzahl der gefährdeten Konten richtet, kann die Gebühr bis zu maximal 50% reduziert werden.
Durch die PCI-Konformität, die Anzeige des ADC und die korrekte Berichterstattung durch Elavon kann die Gebühr um bis zu 100% gesenkt werden. Alle Gebührenermässigungen liegen im Ermessen der Kartenorganisationen.
|
Benachrichtigung im Halbjahresbericht |
Visa durch Zahlungsabwickler informiert, Qualifikation für folgende Ermäßigung |
Zahlungsabwickler durch informierte, Qualifikation für folgende Ermäßigung |
|---|---|---|
|
Zahlungsabwickler meldet Kunden als nicht Compliance-konform |
100% |
100% |
|
Der Zahlungsabwickler versäumt es, die Konformität des Kunden zu erklären oder meldet diese falsch |
100% |
75% |
|
Händler als nicht konform befunden |
|
|
|
Zahlungsabwickler meldet Händler korrekt als Compliance-konform |
75% |
50% |
|
Zahlungsabwickler meldet Händler korrekt als nicht Compliance-konform |
50% |
25% |
|
Zahlungsabwickler versäumt es, die Konformität des Kunden zu melden oder meldet sie falsch |
25% |
No reduction |
ADC Gebühren von Mastercard
Mastercard-Gebühren werden als Operational Reimbursement (OR) und Fraud Recovery (FR) bezeichnet. Mastercard erhebt Gebühren, wenn 30.000 Mastercard-Konten betroffen sind. Wenn eine Gebühr erhoben wird, wird Elavon umgehend mit dem Kunden Kontakt aufnehmen.
Berechnung der Gebühren
Je nach Art und Umfang des ADC kommen unterschiedliche Faktoren und Ermäßigungen zum Tragen. Bei den meisten kleineren ADCs wird Mastercard erst nach Abschluss des PFI tätig.
|
Visa |
€ |
|---|---|
|
PAN und CVV 4.000 x 18 € |
72.000 € |
|
25% Ermäßigung für Selbstanzeige |
- 18.000 € |
|
Verified by Visa-Ermäßigung |
- 27.000 € |
|
ADC Pauschalgebühr |
3.000 € |
|
Gesamt |
30.000 €* |
In diesem Beispiel ereignete sich ein ADC mit einem nichtkonformen Kunden, bei dem 4.000 Visa-Karten und weniger als 30.000 Mastercard-Karten als betroffen eingestuft wurden. In diesem Beispiel waren PAN und CVV betroffen.
*Alle Gebühren gelten zum Zeitpunkt der Veröffentlichung und können sich von Fall zu Fall ändern. Mastercard ist ein eingetragenes Warenzeichen der Mastercard International Incorporated.
Welche Gebühren können noch auf Sie zukommen?
Sie tragen nicht nur die Gebühren für den ADC: Sie müssen auch Maßnahmen ergreifen, dass sich der Vorfall nicht wiederholt. Nach einem ADC-Vorfall müssen Sie sich ein Jahr als PCI-Level 1-Kunde validieren lassen. Das bedeutet, dass Sie einen qualifizierten Sicherheitsexperten (Qualified Security Assessor, QSA) einschalten müssen. Die Beauftragung und Erstellung eines vollständigen Berichts kann bis zu 60.000 € kosten. Die Kosten sind abhängig von der Komplexität der Systems und dem Umfang der erforderlichen Maßnahmen.
Zusätzlich können eine Reihe weiterer Kosten anfallen, wie z.B.:
- Migration zu einer ausgelagerten Lösung
- Neuentwicklung der Webseite
- Komprimierung des bestehenden Compliance-Programms auf 90 Tage
- Kosten eines möglichen Imageschadens
Bei den angegebenen Kosten handelt es sich lediglich um die ADC-Gebühren der Kartenorganisationen. Hinzu kommen mögliche Strafen der Datenschutzbehörden gemäß der Datenschutzgrundverordnung (DSGVO), die bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen EUR betragen können.
Wir sind für Sie da
Elavon ist einer der weltweit führenden Zahlungsabwickler: Profitieren Sie von unserer führenden Expertise in der Zahlungsverkehrsbranche.
Wir helfen Kunden in jeder Phase des ADC-Prozesses:
- Wir unterstützen Sie bei der Zusammenarbeit mit Dritten
- Unparteiische Beratung und Begleitung bei Sanierungsmaßnahmen
- Unterstützung bei der Kostenminimierung
Haben Sie Fragen?
Elavon kann Ihnen helfen, Ihre Zahlungskanäle abzusichern und das ADC-Risiko zu reduzieren. Wir bieten Ihnen eine kostenlose Beratung durch vertrauenswürdige Partner und die Sicherheit, die Sie benötigen. Für weitere Informationen sprechen Sie mit Ihrem Kundenbetreuer oder kontaktieren Sie unser ADC-Team.
Compromise team.
We make it possible. You make it happen.