Start of menu
Close Menu
Skip to content

Informationen für Service Provider

Was ist ein Service Provider?

Service Provider sind Drittunternehmen, die Vertragspartnern und anderen, an der Verarbeitung von American Express Transaktionen Beteiligten, Dienstleistungen anbieten. Service Provider sind u. a. autorisierte und unabhängige Zahlungsverarbeiter, Gateway-Anbieter sowie Anbieter von Point-of-Sale-Hardware-, Point-of-Sale-Software-Systemen oder anderen Zahlungsverarbeitungslösungen bzw. Zahlungsverarbeitungsdienstleistungen.

Service Provider müssen genau wie Vertragspartner den Datensicherheitsrichtlinien von American Express zustimmen, die auf dem PCI-Standard der Zahlungskartenbranche basieren.

Für genauere Informationen siehe § 1 der Datensicherheitsrichtlinien für Service Provider.

Datensicherheitsstandard für Service Provider

Bei jeder Tätigkeit, bei der Karteninhaberdaten gespeichert, verarbeitet oder übertragen werden, müssen die im PCI-Standard aufgeführten Maßnahmen ergriffen werden, um die Kunden und das eigene Unternehmen vor Datenvorfällen zu schützen. Der PCI-Standard legt fest, welche Maßnahmen zum Schutz der Karteninhaberdaten erforderlich sind.

PCI-Standard ansehen.

Die American Express Datensicherheitsrichtlinien legen ergänzend dazu fest, welche Validierungsanforderungen vom Service Provider erfüllt werden müssen.


Voraussetzungen zur Einhaltung der Datensicherheitsrichtlinien für Service Provider

Alle Service Provider müssen die Datensicherheitsrichtlinien von American Express einhalten.

Zur Erreichung der Konformität mit den Datensicherheitsrichtlinien reichen Sie bitte die folgenden Validierungsdokumente ein:

Jährliche Vor-Ort-Sicherheitsprüfung (Annual Onsite Security Assessment)

Die Jährliche Sicherheitsprüfung vor Ort ist eine detaillierte Untersuchung der Einrichtungen, Systeme und Netzwerke - sowie deren Komponenten - der Service Provider, auf denen Daten von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Die Vor-Ort- Sicherheitsprüfung kann entweder von einem Qualified Security Assessor (QSA) oder vom Service Pprovider selbst durchgeführt werden. Eine Liste der QSA ist hier abrufbar.

Bitte beachten Sie, dass diese Website in englischer Sprache verfügbar ist.

Vierteljährliche Netzwerk-Scans (Quarterly Network Scans)
Der vierteljährliche Netzwerk-Scan ist ein Verfahren, bei dem die ans Internet angeschlossenen Computernetzwerke und Webserver eines Service Providers auf potenzielle Schwächen und Anfälligkeiten geprüft werden. Die Überprüfung erfolgt per Fernzugriff und muss durch einen unabhängigen, autorisierten Sicherheitsgutachter (Approved Scanning Vendor - ASV) durchgeführt werden.

Eine Liste der ASV ist hier abrufbar. Bitte beachten Sie, dass diese Website in englischer Sprache verfügbar ist.

Ihre Validierungsdokumente schicken Sie bitte verschlüsselt auf CD an
American Express Payment Services Limited.
Zweigniederlassung Frankfurt am Main
Vertragspartnerservice, Key Account Management
Theodor-Heuss-Allee 112
60486 Frankfurt

Das Passwort zur Entschlüsselung senden Sie bitte separat per Mail an americanexpressdatasecurityemea@aexp.com

Genauere Informationen finden Sie in §3 der Datensicherheitsrichtlinien für Service Provider.

Was müssen Sie im Falle eines Datenvorfalls tun?

Falls Sie wissen oder vermuten, dass ein unbefugter Zugriff auf Karteninhaberdaten erfolgt ist oder diese ohne Genehmigung verwendet wurden, müssen Sie unverzüglich Kontakt mit American Express aufnehmen.

Weitere Informationen finden Sie in §2 der Datensicherheitsrichtlinien für Service Provider.