American ExpressAmerican ExpressAmerican ExpressAmerican ExpressAmerican Express
DeutschlandLand wechseln

Datensicherheit trägt zum Geschäftserfolg bei.

Erfahren Sie, wie Sie zum Schutz Ihrer Kunden und Ihres Unternehmens vorgehen sollten.

Allgemeine Datensicherheitsrichtlinien
Der Schutz der Informationen von Karteninhabern ist ein wichtiger Bestandteil Ihres Vertrags zur Akzeptanz von American Express® Karten. Kompromittierte Daten haben negative Folgen für alle Beteiligten. Sie können jedoch Schritte zur Verminderung dieser Bedrohung und zur Wahrung des Kundenvertrauens unternehmen.
Der Datenschutz kann dazu beitragen:
Kundenbeziehungen zu verbessern
die Gesamtrentabilität zu erhöhen
eine Schädigung des guten Rufs Ihres Unternehmens zu verhindern.
Deutschland
Datenvorfall melden
+1-602-537-3021 (es fallen Gebühren für internationale Anrufe an) oder EIRP@aexp.com
Status der Datensicherheit melden
Wie Sie Ihren Sicherheitsstatus an American Express melden
Die Meldepflichten richten sich nach dem Jahresumfang der von Ihnen mit American Express Karten abgewickelten Transaktionen. Ermitteln Sie unten Ihr Geschäftsvolumen. Im Anschluss erfahren Sie, was Sie genau unternehmen müssen, um die Allgemeinen Datensicherheitsrichtlinien einzuhalten.
Beachten Sie, dass diese Anforderungen sowohl für Vertragspartner als auch
für
Dienstleister gelten.
Deutschland
Unterstützung beim Melden des Datensicherheitsstatus
Vertragspartner Stufe 1: 2,5 Millionen oder mehr Transaktionen mit American Express Karten pro Jahr (oder von American Express als Vertragspartner der Stufe 1 definiert)
Bericht zur jährlichen Vor-Ort-Sicherheitsbewertung (obligatorisch)
Hierbei handelt es sich um eine ausführliche Vor-Ort-Untersuchung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden.
Die Untersuchung wird von einem qualifizierten Sicherheitsgutachter (Qualified Security Assessor, QSA) durchgeführt. Alternativ können Sie die Untersuchung selbst durchführen und die Ergebnisse von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Vierteljährlicher Netzwerkscan (obligatorisch)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Vertragspartner Stufe 2: 50.000 bis 2,5 Millionen Transaktionen mit American Express Karten pro Jahr (Dienstleister: weniger als 2,5 Millionen Transaktionen)
Fragebogen zur jährlichen Selbstbewertung (obligatorisch)
Hierbei handelt es sich um eine Selbstüberprüfung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Verwendet wird dabei der Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire, SAQ) der PCI.
Sie müssen den Fragebogen ausfüllen und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Vierteljährlicher Netzwerkscan (obligatorisch)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Vertragspartner Stufe 3 (designiert): Weniger als 50.000 Transaktionen mit American Express Karten pro Jahr und von American Express als Vertragspartner eingestuft, der Validierungsdokumente einreichen muss. (Gilt nur für Vertragspartner, nicht für Dienstleister.) American Express kontaktiert diese designierten Vertragspartner und liefert ihnen Details zur Meldung ihres Sicherheitsstatus durch Übermittlung von PCI-Validierungsdokumenten.
Fragebogen zur jährlichen Selbstbewertung (obligatorisch)
Hierbei handelt es sich um eine Selbstüberprüfung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Verwendet wird dabei der Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire, SAQ) der PCI.
Sie müssen den Fragebogen ausfüllen und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Vierteljährlicher Netzwerkscan (obligatorisch)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Vertragspartner Stufe 3: Weniger als 50.000 Transaktionen mit American Express Karten pro Jahr (gilt nur für Vertragspartner, nicht für Dienstleister).
Fragebogen zur jährlichen Selbstbewertung (empfohlen)
Hierbei handelt es sich um eine Selbstüberprüfung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Verwendet wird dabei der Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire, SAQ) der PCI.
Sie müssen den Fragebogen ausfüllen und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF)..
Vierteljährlicher Netzwerkscan (empfohlen)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Meilensteine 1-4 der jährlichen Compliancebewertung nach dem PCI DSS Prioritized Approach – Validierungsdokumentation
Bei den Meilensteinen 1-4 der jährlichen Compliancebewertung nach dem PCI DSS Prioritized Approach handelt es sich um eine Untersuchung der Geräte, Systeme und Netzwerke (und der zugehörigen Komponenten), mit denen Karteninhaber- und/oder sensible Authentifizierungsdaten gespeichert, verarbeitet oder übertragen werden. Diese Prüfung muss von Ihnen durchgeführt und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigt sowie jährlich über die Compliancebescheinigung „PCI DSS Prioritized Approach Summary & Attestation of Compliance“ (PASAOC) an American Express übermittelt werden.
Weitere Informationen finden Sie in Abschnitt 4, Schritt 2 der Allgemeine Datensicherheitsrichtlinien (PDF).
Übermitteln von erforderlichen Dokumenten
Trustwave ist ein Anbieter von Datensicherheits- und Compliancemanagement-Lösungen. Das Unternehmen fungiert als Programmadministrator für unser Datensicherheits-Complianceprogramm. Senden Sie erforderliche Dokumente über das sichere Portal des Unternehmens oder per Fax.
Geben Sie dabei Folgendes an:
Firmenname
Name, Adresse und Telefonnummer Ihres Ansprechpartners für Datensicherheit
10-stellige American Express Vertragspartner-Nummer (sofern zutreffend)
Übermittlung über sicheres Portal
Melden Sie sich mit Ihrem Benutzernamen an unter login.trustwave.com.
Sie haben Ihren Benutzernamen oder Ihr Passwort vergessen? Kontaktieren Sie den Trustwave-Support unter
Per sicherem Fax übermitteln
Senden Sie Ihre Validierungsdokumente per Fax an +1(312)276-4019.
Qualifizierende Transaktionen müssen von Karteninhabern mit der physischen Karte an einem PoS-System abgewickelt werden, das den EMV-Spezifikationen entspricht und kontaktbehaftete und kontaktlose American Express Chipkarten verarbeiten kann. In Frage kommen nur Vertragspartner, bei denen es in den vorherigen 12 Monaten zu keinem Datenvorfall gekommen ist.
Entgelte bei Nichtvalidierung und Kündigung des Vertrags
American Express kann Nichtvalidierungs-Entgelte für Vertragspartner erheben und/oder den Vertrag kündigen, wenn Vertragspartner oder Dienstleister obligatorische Dokumente nicht innerhalb der geltenden Frist bei American Express einreichen.

Wie Sie Ihre Systeme vor Datenvorfällen schützen

54% der Angriffsziele stammen aus dem Bereich E-Commerce.1

31% der Erstangriffe sind auf schwache Kennwörter zurückzuführen.1

60% der kleineren Unternehmen müssen innerhalb von sechs Monaten nach einem Datenvorfall schließen.1

Deutschland
Datenvorfall melden
+1-602-537-3021 (es fallen Gebühren für internationale Anrufe an) oder EIRP@aexp.com
Status der Datensicherheit melden
Welche weiteren Maßnahmen zum Schutz der Daten von Karteninhabern können Sie ergreifen?

Datensicherheitsstandards der PCI befolgen

Mit diesen globalen Datensicherheitsstandards, die von den Zahlungskartenanbietern übernommen wurden, können Sie sämtliche Kundendaten bestmöglich schützen.

Kennwort ändern

Dies ist eine der einfachsten Möglichkeiten, Datenvorfälle zu verhindern. Kleine, leicht zu merkende Verbesserungen an Kennwörtern können dazu beitragen, dass es wesentlich länger dauert, ein Kennwort zu knacken.

Kurze Videos

Diese kurzen Videos, die alles von Firewalls bis hin zur Chiptechnologie behandeln, vermitteln Ihnen die Grundlagen der Datensicherheit.

Schulung zur Datensicherheit

Sehen Sie sich die Schulung zum Thema Datensicherheit an, die für Sie und Ihre Mitarbeiter zur Verfügung steht.

1. Globaler Sicherheitsbericht 2014 von Trustwave

2. Globaler Sicherheitsbericht 2014 von Trustwave

3. Bericht zur Sicherheit im Internet 2013 von Symantec

Vorgehensweise bei einem Datenvorfall

Bei Kompromittierung der Informationen von Karteninhabern bzw. bei Missbrauch oder Verlust solcher Daten müssen Sie wie folgt vorgehen:

Senden Sie unverzüglich, d.h. spätestens 24 Stunden nach Entdeckung des Vorfalls, eine E-Mail an EIRP@aexp.com. Füllen Sie das Formular für die Erstmitteilung zu einem Datenvorfall bei einem Vertragspartner aus und hängen Sie es an die E-Mail an.

Führen Sie eine gründliche Untersuchung durch. Unter Umständen müssen Sie dabei einen Forensiker der Zahlungskartenindustrie (Payment Card Industry, PCI) hinzuziehen.

Teilen Sie uns unverzüglich alle Nummern von kompromittierten American Express® Karten mit.

Arbeiten Sie mit uns zusammen, um Probleme im Zusammenhang mit dem Datenvorfall zu beheben.

Datensicherheitsstandards der PCI
Ziel
PCI DSS Anforderungen
Sichere Netzwerke und Systeme einrichten und pflegen
1.
Firewall zum Schutz der Daten von Karteninhabern installieren und verwalten
2.
Keine vom Anbieter bereitgestellten Standardwerte für Systemkennwörter und andere Sicherheitsparameter verwenden
Daten von Karteninhabern schützen
3.
Gespeicherte Daten von Karteninhabern schützen
4.
Daten von Karteninhabern bei der Übertragung über offene, öffentliche Netzwerke verschlüsseln
Programm zur Schließung von Sicherheitslücken betreiben
5.
Alle Systeme gegen Malware schützen und Antiviren-Software oder -Programme regelmäßig aktualisieren
6.
Sichere Systeme und Anwendungen entwickeln und pflegen
Wirksame Maßnahmen zur Zugriffskontrolle umsetzen
7.
Zugriffe auf Daten von Karteninhabern auf die für das Geschäft notwendigen beschränken
8.
Zugriffe auf Systemkomponenten identifizeren und authentifizieren
9.
Physischen Zugriff auf Daten von Karteninhabern beschränken
Netzwerke regelmäßig überwachen und testen
10.
Sämtliche Netzwerkressourcen und Daten von Karteninhabern verfolgen und überwachen
11.
Sicherheitssysteme und -prozesse regelmäßig
testen
Richtlinien zur Informationssicherheit einhalten
12.
Richtlinien zur Informationssicherheit für das gesamte Personal einhalten
Wie stark ist Ihr Kennwort?
Kennwörter sollten für Sie leicht zu merken, aber für andere schwer zu erraten sein.
Vermeiden Sie bei Kennwörtern Folgendes:
Einzelnes Wort aus dem Wörterbuch
Großbuchstabe am Anfang
Ziffern am Ende des Kennworts
Namen von Haustieren, Familienangehörigen oder Sportmannschaften
Beispiele für schwache Kennwörter
kennwort
Kennwort
Kennwort123
Rex1, Michael, BVB
Starke Kennwörter sind lang und enthalten Folgendes:
Mehrere Wörter oder Abkürzungen (12 Zeichen)
Ziffern anstelle von Buchstaben (12 Zeichen)
Ziffern und Sonderzeichen (20 Zeichen)
Lange Folgen aus Zeichen und Abkürzungen sind leicht zu merken: 'my commute on Route 101 Is a Nightmare'
Beispiele für starke Kennwörter
(diese Beispiele nicht verwenden, sondern eigene erstellen)
iHatetraf
iH@+3+r@f
i#Hate#Rt101
mco@#40iaNmMcoA#FoRtyianM
Dienstleister sind autorisierte Verarbeiter, Fremdverarbeiter, Gatewayanbieter und alle anderen Anbieter, die Vertragspartnern POS-Geräte, -Software, -Systeme oder andere Zahlungsverarbeitungslösungen oder -dienstleistungen zur Verfügung stellen.