Es wird geschätzt, dass in den USA mehr als 570 Millionen Kreditkarten im Einsatz sind, was einem Durchschnitt von 1,7 Kreditkarten pro Bürger entspricht. In Deutschland sind es Schätzungen zufolge über 130 Mio. Zahlungskarten, davon rund drei Viertel Debitkarten und ein Viertel Kreditkarten. Weltweit belief sich das Volumen der bargeldlosen Transaktionen 2022 auf rund 1.157 Mrd. US-Dollar, Tendenz steigend. Dies bedeutet, dass auch die Zahl der Betrugsversuche bei bargeldlosen Zahlungen zunimmt. Laut dem Nilson Report 2022 beliefen sich die Verluste durch Kartenbetrug im Jahr 2021 auf 32,34 Milliarden US-Dollar. Umso wichtiger ist es, die im Zahlungsverkehr eingesetzte Hard- und Software zu entwickeln und ständig zu überwachen.
Auch zur Cyber-Kriminalität liegen eindrückliche Fakten vor: 2022 wurden die Schäden, die durch Cyberkriminalität weltweit und in sämtlichen Bereichen entstanden sind, auf 8 Billionen US-Dollar geschätzt. So hatten 310 Millionen Internetnutzer im Jahr 2022 eine Verletzung ihrer Konten zu beklagen. Besonders wichtig für den Handel: 24 % der Cyberangriffe zielten auf Einzelhändler ab, das ist mehr als in jeder anderen Branche. Dabei sind 99 % der Cyberangriffe im Einzelhandel finanziell motiviert.
Infolge dieser beunruhigenden Statistiken sind Handelsunternehmen verpflichtet, die persönlichen Daten ihrer Kunden zu schützen. Dies sicherzustellen kann eine große Herausforderung darstellen sein, da Einzelhändler oft mit vielen Partnern zusammenarbeiten, um mit den vorhandenen Daten den Kundenservices zu verbessern, diese zum Schutz vor Betrug einsetzen, oder Personalisierung kundenorientiert nutzen wollen.
Lassen Sie uns erörtern, wie sich der Datenschutz auf die Einzelhandelsbranche auswirkt und wie GK seine Partner im Einzelhandel schützen kann.
Sicherheit in der Handelsbranche in doppelter Hinsicht wichtig:
Belegen die erwähnten Fakten eine dringende Notwendigkeit, die Risiken für Angriffe und somit vor möglichen Schäden so gering wie möglich zu halten, ist dies auch rechtlich für die Handelsunternehmen unabdingbar. Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union („EU 2016/679“), regelt die Verarbeitung personenbezogener Daten von Einzelpersonen, Unternehmen oder Organisationen in der EU. Darüber hinaus ist die Richtlinie NIS 2 bedeutsam, die Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Europäischen Union (2023) sicherstellt. Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren identifiziert wurden, müssen angemessene Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren.
Für Datenschutzverletzungen sind Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes möglich. Zwischen 2018 und 2022 beliefen sich die GDPR-Bußgelder in Europa kumuliert auf über 2,381 Mrd. Euro. Überdies müssen Einzelhändler und Anbieter von Einzelhandelstechnologie die sich ändernden Datenschutzgesetze in den US-Bundesstaaten einhalten, in denen sie geschäftlich tätig sind. Die National Conference of State Legislatures berichtete, dass „mindestens 25 Bundesstaaten und Puerto Rico im Jahr 2023 fast 140 Gesetze zum Schutz der Privatsphäre von Verbrauchern einführen oder in Erwägung ziehen“. Diese Gesetze sind eine Reaktion auf den bahnbrechenden California Privacy Rights Act (CCPA), der regelt, wie Unternehmen personenbezogene Daten von Verbrauchern in diesem Bundesstaat sammeln, speichern und verkaufen.
Zukünftig wird es neben den hohen Strafen aufgrund von Datenschutzverletzungen (DSGVO) auch hohe Strafen für die Nichteinhaltung von Sicherheitsmaßnahmen geben (NIS 2). Händler und Dienstleister müssen daher nachweisen, höchst-mögliche Sicherheitsstandards anzuwenden, im Falle von GK OmniPOS erfolgt dies über den PCI Software Lifecycle Standard.
GK-Zertifizierungen für OmniPOS und TransAction+
Täglich erfolgen ca. vier Millionen Transaktionen mit der GK OmniPOS an mehr als 120.000 Systemen weltweit, eine Vielzahl wird mit Karten bezahlt. Grund genug die auf die höchsten Sicherheitsstandards in unserer Software zu setzen. Diese reichen von einem standardisierten Sicherheitsschulungssystem für unsere Mitarbeiterinnen und Mitarbeiter, bis hin zur ausführlichen Software Security Dokumentation.
Der Payment Card Industry (PCI)Payment Card Industry (PCI) Data Security Standard ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Der Schutz von Zahlungsdaten hat für Anbieter von Zahlungssoftware höchste Priorität; mit Zertifizierungen nach dem Software Security Framework (SSF) weisen sie nach, dass sowohl die Zahlungssoftware als auch ihre Entwicklungsprozesse umfassenden und höchsten Sicherheitsanforderungen erfüllen.
Das gesamte PCI Security Framework umfasst zwei Standards: Den Secure Software Standard (SSS), der Kernanforderungen in Bezug auf Zahlungsapplikationen umfasst und der Secure Software Life Cycle Standard (PCI SLC). Beide Programme konzentrieren sich auf unterschiedliche Aspekte der Software-Sicherheitsvalidierung. Die Validierung der Zahlungssoftware nach SSS gewährleistet eine sichere Entwicklung der Anwendung entsprechend der besten Standards und Praktiken der Branche. Mit SSS wird demzufolge die Gesamteffektivität der Software geprüft, um die Integrität der Software und die Vertraulichkeit der sensiblen Daten, die sie speichert, verarbeitet und überträgt, zu schützen. PCI Secure Software Life Cycle setzt an anderer Stelle an, denn diese Validierung gewährleistet, dass der Softwareentwicklungsprozess, die Methodik und die Praktiken des Softwareanbieters sicher sind und in den kompletten Software-Lebenszyklus integriert sind.
Den PCI SLC trägt GK OmniPOS nach einem umfangreichen Prüfungsprozess seit April 2023, den PCI SSS hatte GK OmniPOS bereits im Vorjahr durchlaufen. Das Sicherheitszertifikat PCI Secure Software Life Cycle Version 1.1. bestätigt, dass das GK Standardprodukt OmniPOS für Zahlungstransaktionen sicher ist, während gleichzeitig das Risiko oder die Schwachstellen durch den Aufbau einer starken Abwehr gegen Angriffe reduziert werden. Die Technologie sowie das Design und der Wartung der Softwarelösung ist während des gesamten Software-Lebenszyklus sicher.
Ebenso hat die GK-Zahlungslösung TransAction+ (T+), die sowohl in den Vereinigten Staaten als auch in Kanada eingesetzt wird, bereits die PCI SSF-Zertifizierung erhalten. Diese Anerkennung zeigt, dass TransAction+ eine sichere Zahlungslösung ist, die Datenlücken verhindert und alle sensiblen Informationen im Zusammenhang mit einer Transaktion schützt. Das Vorhandensein dieser Zertifizierung und des für OmniPOS zertifizierten PCI SSS-Frameworks unterstreicht das kontinuierliche Engagement von GK, sichere, erstklassige Lösungen für seine Kunden anzubieten.
Sicherheitsnachweis auch für zukünftige Versionen der GK OmniPOS
Den Validierungsprozess unterstützte der akkreditierte Auditor usd AG, der in den letzten zweieinhalb Jahren die Prüfung begleitete und die Entwicklungsarbeiten mit Anpassungen an den Source Code, die Dokumentationen und Revisionen sowie die abschließende Prüfung durch den PCI Council mit GK durchlief. Mit der Zertifizierung nach PCI Secure Software Life Cycle stellt GK die kontinuierliche Aufrechterhaltung der Validierung seiner Software sicher und es ist belegt, dass GK „SSF-compliant“ neue Softwareversionen anbieten kann.
PCI-konform mit GK OmniPOS:
- Bestätigung höchster Sicherheitsstandards für die Verwendung der Lösung GK OmniPOS
- Verringerung des Risikos hoher Strafen aufgrund von Datenschutzverletzungen
- Verringerung der Risikos der Auswirkungen zukünftig auftretender Sicherheitsschwachstellen
- Einfachere Integration der Anwendungen für GK-Kunden die nach PCI DSS zertifiziert sind.
- Schneller Informationsaustausch mit den Kunden zur Minderung zukünftig auftretender Sicherheitsschwachstellen.
- Priorisierte Behebung zukünftiger Sicherheitsschwachstellen und koordinierte Auslieferung von Sicherheitsupdates
- Höhere Qualität der Anwendungen durch kontinuierliche Sicherheitsanalysen der Software und kontinuierliches Mitarbeitertraining
- Risikomanagement bei Identitätsdiebstahl und Kreditkartenbetrug
- Erhöhung des Schutzes der Kundendaten
- Verringerung des Risikos von negativen Auswirkungen auf den Cashflow
Möchten Sie mehr erfahren? Nehmen Sie gerne Kontakt mit uns auf.