Travel Tech

Der Datenverkehr zwischen TO und Vertriebsstelle erfolgt nicht mit den richtigen Kreditkarten-Daten, sondern mit einem Pseudonym der Kreditkarten-Nummer. Bild: Fotolia

Amadeus verbessert die Sicherheit bei Kreditkartenzahlungen

Das Tool «Amadeus Leisure PCI Service» ermöglicht sichere Kreditkartenübertragungen auch für Unternehmen, welche keine PCI-DSS-Zertifizierung haben.

Um eine einheitliche Vorgehensweise bei der Umsetzung von Sicherheitsanforderungen zu ermöglichen, haben die Kreditkarten-Organisationen Visa und Mastercard gemeinsame Sicherheits-Standards entwickelt: Die «PCI-DSS» (= Payment Card Industry Data Security Standard). Alle an diesem Prozess beteiligten Firmen müssen ihre Systeme den hohen Sicherheitsstandards anpassen und sich durch speziell lizenzierte Institutionen zertifizieren lassen.

Viele Reiseveranstalter sind nach diesem Kreditkarten-Standard zertifiziert und ermöglichen seit langem erfolgreich und sicher die Zahlung per Kreditkarte, etwa über Amadeus Tour Market und die Traveltainment IBE (Internet Booking Engine). Mit der neuen Lösung «Amadeus Leisure PCI Service» funktioniert das künftig auch für Reiseveranstalter, auf deren Systemen keine PCI-DSS-zertifizierte Verarbeitung von Kreditkarten-Daten erfolgt.

Der neue Service wird dabei auf die individuellen Prozesse der Veranstalter und die ihrer Vertriebspartner zugeschnitten. Erstkunde ist das Schweizer Unternehmen holidays.ch, welches unter anderem Reisen für die Vertriebsmarken Swiss Holidays, Lufthansa Holidays, AirBerlin Holidays oder HLX produziert und über die Traveltainment IBE vertreibt. Holidays.ch arbeitet dabei mit dem Payment-Service-Provider Concardis zusammen.

Ein «Token» schafft Sicherheit

Nach der Erfassung der Kreditkarten-Details in Amadeus Tour Market oder in der Traveltainment IBE beantragt Amadeus mit diesen Daten beim zertifizierten Payment-Service-Provider des Reiseveranstalters einen sogenannten «Token» (Englisch für «Pfandmarke» oder «Jeton»). Das bedeutet, dass der Datenverkehr zwischen Veranstaltern und Reisebüros oder Reise-Portalen nicht mit den eigentlichen Kreditkarten-Daten abgewickelt wird, sondern mit einem Pseudonym der Kreditkarten-Nummer. Amadeus übermittelt den Token zusammen mit der Buchung an den Veranstalter. Der wiederum identifiziert sich mit ihm auf eine dem Standard PCI-DSS gemässe Weise bei seinem Payment-Service-Provider und veranlasst dort die Belastung der Endkunden-Kreditkarte.

«Kreditkarten-Daten sind besonders schützenswert, und mit gutem Recht vertrauen Kartenbesitzer nur solchen Dienstleistern, die ein Zertifikat nach PCI-DSS besitzen», erklärt Uta Martens, Geschäftsführerin von Amadeus Germany, «mit unserer Lösung Amadeus Leisure PCI Service wird das nun auch für nicht zertifizierte Veranstalter möglich. Der Datenverkehr zwischen Vertrieb und Veranstaltern läuft anonymisiert und sicher über Token.» Sie ist sicher, die Lösung bald mit weiteren Veranstaltern umsetzen zu können.

Thilo Gaul, Geschäftsführer der HLX Touristik GmbH, einer der Vertriebsmarken von holidays.ch, freut sich darüber, dass seine Systeme nicht mit Klartext-Kreditkarten-Daten der Endkunden in Berührung kommen: «Durch die zusätzlichen Zahlmöglichkeiten erwarten wir auch über Online-Reisebüros einen deutlichen Anstieg der Buchungszahlen.» Holidays.ch hat den Amadeus Leisure PCI Service im Dezember 2016 für seine Vertriebspartner freigeschaltet.

(TN)