Startseite > Für Geschäftspartner > Sicherheit > JCB Datensicherheitsprogramm
JCB Datensicherheitsprogramm
Branchenweite Sicherheitsstandards
Das „JCB Data Security Program” wurde erstellt, um sicherzustellen, dass die Lizenznehmer die Anforderungen des „PCI Data Security Standart” (PCI DSS) erfüllen.
JCB erwartet von den Lizenznehmern, dass sich diese, TPPs, IPSPs und die Händler, welche Zugriff auf Kreditkartendaten sowie Daten über den Zahlungsverkehr haben, an das „JCB Data Security Program” halten.
Drei Verfahren zum Compliance-Nachweis
Es gibt 3 Möglichkeiten um die Einhaltung der PCI DSS zu überprüfen.
Selbstbewertung
Durch Ausfüllen des Fragebogens zur Selbstbewertung können Sie feststellen, inwieweit Sie derzeit den PCI DSS-Standard einhalten. Sie können den Fragebogen zur Selbstbewertung der PCI DSS Payment Card Industry auf der Website des PCI Security Standards Council herunterladen.
Fragebogen zur Selbstbewertung von PCI DSS Payment Card Industry herunterladen.
Security Scan
Ein zugelassener PCI SSC-Sicherheitsprüfer (ASV/Approved Scanning Vendor) führt über ein Remote-Netzwerk einen Security Scan Ihres Netzwerks und Ihrer Webanwendungen durch, um Schwachstellen und Fehlkonfigurationen sowie Fehler, die zu Angriffen über das Internet führen können, zu beurteilen. Der ASV erstellt Ihnen einen Scanbericht, in dem die ermittelten Sicherheitsschwachstellen beschrieben werden und der Anweisungen zu ihrer Behebung enthält. Auf der Website des PCI Security Standards Council können Sie die Verfahren zum PCI DSS- Sicherheitsprüfungsverfahren herunterladen und eine Liste von ASVs aufrufen. Für Informationen über Kosten und Zeitaufwand des Security Scans wenden Sie sich bitte an den von Ihnen ausgewählten ASV.
PCI DSS-Sicherheitsprüfungsverfahren-Verfahren herunterladen
Onsite-Audit
Ein PCI SSC-zugelassener Sicherheitsgutachter (QSA/Qualified Security Assessor) führt vor Ort eine Prüfung Ihrer Informationssicherheit durch, die Interviews mit Mitarbeitern, Dokumentenprüfung und ein Audit der Systemsteuerungen umfasst. Der QSA erstellt anschließend einen detaillierten Bericht über die Ergebnisse der Prüfung. Auf der Website des PCI Security Standards Council können Sie die PCI DSS- Sicherheitsprüfungsverfahren herunterladen und eine Liste der QSAs aufrufen. Für Informationen über Kosten und Zeitaufwand des Onsite-Audits wenden Sie sich bitte an den von Ihnen ausgewählten QSA.
Der Stichtag des Einhaltens des PCI DSS, sowie der Überprüfung des Verfahrens
Die Lizenznehmer, TPPs, IPSPs und Händler, welche Zugriff auf Kreditkartendaten sowie Daten über den Zahlungsverkehr haben müssen ab dem 1. April 2018 den PCI DSS einhalten. Davon ausgenommen sind Kartenterminals, die vom Verkäufer oder vom Karteninhaber bedient werden, für diese gilt der 1. April 2020 als Stichtag zur Einhaltung des PCI DSS.
Bis zum 31. März 2018
| Einhaltung des PCI DSS |
Anzahl der JCB Transaktionen (pro Jahr) |
Überprüfung der Umsetzung der Richtlinien | ||||
|---|---|---|---|---|---|---|
| Eigenüberprüfung | Sicherheits- Scan |
Vor-Ort- Überprüfung |
||||
| Wenn Sie mit Kreditkartendaten sowie Daten über den Zahlungsverkehr per Internet oder per Netzwerk, das auf das Internet zugreifen kann, verarbeiten | Händler | Empfohlen | eine Million oder mehr | - | vierteljährlich | jährlich |
| weniger als eine Million | jährlich | vierteljährlich | - | |||
| Finanzdienstleister | Empfohlen | unabhängig von der Anzahl | - | vierteljährlich | jährlich | |
| Wenn Sie nicht mit Kreditkartendaten sowie Daten über den Zahlungsverkehr per Internet oder per Netzwerk, das auf das Internet zugreifen kann, verarbeiten | Händler | Empfohlen | eine Million oder mehr | - | - | jährlich |
| weniger als eine Million | jährlich | - | - | |||
| Finanzdienstleister | Empfohlen | unabhängig von der Anzahl | - | - | jährlich | |
Ab dem 1. April 2018
| Einhaltung des PCI DSS |
Anzahl der JCB Transaktionen (pro Jahr) |
Überprüfung der Umsetzung der Richtlinien | |||||
|---|---|---|---|---|---|---|---|
| Eigenüberprüfung | Sicherheits- Scan |
Vor-Ort- Überprüfung |
|||||
| Händler (inbegriffen IPSPs) |
E-commerce Geschäfte, MO/TO Transaktionen, mit dem Telefon, als Terminal, getätigte Zahlungen |
Verpflichtend (ab einschließlich dem 1. April 2018) |
Händler, ausgenommen IPSPs | eine Million oder mehr | - | vierteljährlich | jährlich |
| weniger als eine Million | jährlich | vierteljährlich | - | ||||
| IPSPs | unabhängig von der Anzahl | - | vierteljährlich | jährlich | |||
| Kartenterminals, die vom Verkäufer oder vom Karteninhaber bedient werden |
Verpflichtend (ab einschließlich dem 1. April 2020) |
eine Million oder mehr | - | vierteljährlich | jährlich | ||
| weniger als eine Million | jährlich | vierteljährlich | - | ||||
| TPPs | Verpflichtend (ab einschließlich dem 1. April 2018) |
eine Million oder mehr | - | vierteljährlich | jährlich | ||
| weniger als eine Million | jährlich | vierteljährlich | - | ||||
| Acquirer | Verpflichtend (ab einschließlich dem 1. April 2018) |
unabhängig von der Anzahl | - | - | - | ||
| Issuer | Verpflichtend (ab einschließlich dem 1. April 2018) |
unabhängig von der Anzahl | - | - | - | ||
* Wenn es geeignete Gesetze, Regularien oder Industriestandards in dem Land gibt, in welchem der Händler, TPP, Acquirer oder Issuer beheimatet ist, gelten diese vorrangig vor dem "JCB Data Security Programm".