Start of menu
Close Menu
Skip to content

Datensicherheitsstandard für Vertragspartner
Bei jeder Tätigkeit, bei der Karteninhaberdaten gespeichert, verarbeitet oder übertragen werden, müssen die im PCI-Standard aufgeführten Maßnahmen ergriffen werden, um die Kunden und das eigene Unternehmen vor Datenvorfällen zu schützen. Der PCI-Standard legt fest, welche Maßnahmen zum Schutz der Karteninhaberdaten erforderlich sind.
PCI-Standard ansehen.

Die American Express Datensicherheitsrichtlinien legen ergänzend dazu fest, welche Validierungsanforderungen von Vertragspartnern erfüllt werden müssen. Datensicherheitsrichtlinien ansehen.

Bitte beachten Sie die folgenden Informationen zum Haftungsausschluss:
Soweit in diesen Richtlinien nicht ausdrücklich anders festgelegt, enthebt die Einhaltung der Datensicherheitsrichtlinien den Dienstleistungsanbieter in keiner Weise von seinen Schadenersatzverpflichtungen gegenüber American Express gemäß der Vereinbarung mit American Express und hat auch keinen mindernden oder aufhebenden Einfluss auf seine Haftung. Dienstleistungsanbieter sind dafür verantwortlich, auf eigene Kosten alle weiteren Datensicherheitsmaßnahmen zu ergreifen, die sie für den Schutz ihrer jeweiligen Daten und Interessen für nötig halten. American Express gibt in keiner Weise eine Zusicherung oder Garantie dafür ab, dass die in der Vereinbarung mit American Express oder diesen Richtlinien enthaltenen Maßnahmen ausreichend oder angemessen sind, um die jeweiligen Daten und Interessen des Dienstleistungsanbieters zu schützen.

Für genauere Informationen siehe § 4 der Datensicherheitsrichtlinien für Vertragspartner.

 

Merchant-Level
Jeder Vertragspartner von American Express wird grundsätzlich entsprechend seiner Anzahl an American Express Transaktionen einem von drei Levels zugeordnet. Die nachfolgende Tabelle hilft Ihnen dabei festzustellen, in welchem Level sich Ihr Unternehmen befindet. Darüber hinaus ist aufgelistet, welche Validierungsdokumente erforderlich sind, um die Konformität mit den Datensicherheitsrichtlinien von American Express nachzuweisen.

Level Definition Validierungsdokumente Erfordernis
1 Mindestens 2,5 Mio. American Express Kreditkarten-Transaktionen pro Jahr jährliche Vor-Ort-Sicherheitsprüfung (Annual Onsite Security Assessment) und vierteljährliche Netzwerk-Scans (Quarterly Network Scans) obligatorisch
2 50.000 bis 2,5 Mio. American Express Kreditkarten-Transaktionen pro Jahr vierteljährliche Netzwerk-Scans (Quarterly Network Scans) und die jährliche Selbsteinschätzung (Annual Self-Assessment) obligatorisch
3 Weniger als 50.000 American Express Kreditkarten-Transaktionen pro Jahr vierteljährliche Netzwerk-Scans (Quarterly Network Scans) und jährliche Selbsteinschätzung (Annual Self-Assessment) dringend empfohlen

Für genaue Informationen siehe § 3 der Datensicherheitsrichtlinien für Vertragspartner. Datensicherheitsrichtlinien von American Express ansehen.

 

Voraussetzungen zur Einhaltung der Datensicherheitsrichtlinien für Vertragspartner

Alle Vertragspartner müssen die Datensicherheitsrichtlinien von American Express einhalten.
Nachfolgend erfahren Sie in zwei einfachen Schritten, wie Sie die Konformität mit den Datensicherheitsrichtlinien erreichen können:

1. Schritt
Bitte öffnen Sie Infofeld 2 („Merchant Level") und bestimmen Sie anhand der Tabelle, welchem Level Ihr Unternehmen zuzuordnen ist. Je nach Level werden Sie unter Umständen um eines oder um mehrere der folgenden Validierungsdokumente gebeten:

Jährliche Vor-Ort-Sicherheitsprüfung (Annual Onsite Security Assessment)
Die jährliche Sicherheitsprüfung vor Ort ist eine detaillierte Untersuchung der Einrichtungen, Systeme und Netzwerke - sowie von deren Komponenten - des Vertragspartners, auf denen Daten von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Die Vor-Ort-Sicherheitsprüfung kann entweder von einem Qualified Security Assessor (QSA) oder vom Vertragspartner selbst durchgeführt werden. Eine Liste der QSA ist hier abrufbar. Bitte beachten Sie, dass diese Website in englischer Sprache verfügbar ist.


Vierteljährliche Netzwerk-Scans (Quarterly Network Scans)
Der vierteljährliche Netzwerk-Scan ist ein Verfahren, bei dem die ans Internet angeschlossenen Computernetzwerke und Webserver eines Vertragspartners auf potenzielle Schwächen und Anfälligkeiten geprüft werden. Die Überprüfung erfolgt per Fernzugriff und muss durch einen unabhängigen, autorisierten Sicherheitsgutachter (Approved Scanning Vendor - ASV) durchgeführt werden.
Eine Liste der ASV ist hier abrufbar. Bitte beachten Sie, dass diese Website in englischer Sprache verfügbar ist.


Jährliche Selbsteinschätzung (Annual Self Assessment Questionnaire)
Der Selbsteinschätzungsfragebogen ist eine „Checkliste", die Ihnen bei der Feststellung hilft, dass kritische Sicherheitsmaßnahmen zum Schutz der Kreditkartendaten in Ihrem Unternehmen vorhanden sind. Zusätzliche Informationen zum Annual Self Assessment Questionaire finden Sie hier. Bitte beachten Sie, dass diese Website in englischer Sprache verfügbar ist.

2. Schritt
Ihre Validierungsdokumente können Sie folgendermaßen bei American Express einreichen:
Für einen individuellen elektronischen Zugang über das Secure Portal, kontaktieren Sie bitte unseren Partner Trustwave unter americanexpresscomplianceDEU@trustwave.com



Was müssen Sie im Falle eines Datenvorfalls tun?
Falls Sie wissen oder vermuten, dass ein unbefugter Zugriff auf Karteninhaberdaten erfolgt ist oder diese ohne Genehmigung verwendet wurden, sollten Sie sich unverzüglich an Ihren Kundenbetreuer oder an unseren Vertragspartner-Service unter 069 9797-2222 wenden.Sie können auch das American Express Enterprise Incident Response Program (EIRP) informieren, indem Sie das Formular zur Erstmeldung eines Datensicherheitsvorfalls ausfüllen und per Fax an 001 602 537 7998 senden.

Für genaue Informationen siehe § 2 der Datensicherheitsrichtlinien für Vertragspartner.
Datensicherheitsrichtlinien von American Express ansehen.