Mehr Infos Amadeus Air: Kreditkarten-Verschlüsselung im Amadeus System

Amadeus Air:
FAQs zur Kreditkarten-Verschlüsselung

Kreditkarten-Daten müssen vertraulich behandelt werden. Die weltweit gültigen Bestimmungen hierfür setzt Amadeus mit der Kreditkarten-Verschlüsselung um. Wichtig dabei ist, dass Sie im Reisebüro entsprechend sensibel mit diesen Daten umgehen. Die folgende Übersicht beantwortet Ihnen die am häufigsten gestellten Fragen.

Frage 
Wenn das Sign Attribut CCD auf Y gesetzt ist, greift die Verschlüsselung nicht.
Müsste, rechtlich gesehen, jedes Reisebüro das Attribut auf N setzen?

Antwort 
Nein, der Local Security Administrator Ihres Reisebüros/Ihrer Kette entscheidet, wer Einsicht haben soll und wer nicht. Sie können CCD also auch auf YES setzen und erhalten mit CCD-Y "erlaubte" Einsicht in die Daten. Die Daten sind jedoch nur unter dem autorisierten Sign sichtbar.

Wichtig ist, dass die Daten in autorisierten Feldern geschützt, aber für Sie in diesem Fall sichtbar sind. Andere Amadeus Nutzer, an die Sie eventuell überspielen, z. B. Ihre Software-Partner, Airlines oder Provider, die am PNR beteiligt sind und auf Ihren PNR Zugriff haben, können die Daten nicht sehen. Falls diese Partner auch CCD-Y eingestellt haben und ein Missbrauch stattfindet, haftet das Partner-Büro, das die Einsicht dort zugelassen hat, denn Sie haben die Daten geschützt gespeichert. Wenn Sie jedoch die Daten in OSI, RM oder RC oder entsprechenden "PNR transferable data" der Profiles – also ungeschützt – gespeichert haben, dann haften Sie. Dies ist in den NEWS und unter GGAMADEKKV entsprechend kommuniziert:

Wenn Sie die Kreditkartendaten in anderen als den in dieser Information ausdrücklich erlaubten Feldern eintragen, besteht die Gefahr, dass, z.B. von Ihren Kunden, Ansprüche gegen Sie geltend gemacht werden, falls die Kreditkartendaten nachfolgend missbräuchlich genutzt werden und hierdurch ein Schaden entsteht.
  
Frage 
Alle relevanten CC-Daten sind korrekt eingegeben und das CCD Attribut ist auf Y gesetzt. Der PNR wird einem Büro außerhalb der Kette auf die Queue gesetzt. Dieses hat das CCD auch auf Y gesetzt. Hat das Büro dann Einblick auf die Kartendaten?

Antwort 
Ja, aber das erste Büro haftet nicht, wenn durch Kontakte des zweiten Büros Missbrauch entsteht.

Frage 
Momentan haben wir in den Amadeus Traveller Profiles eine weitere Kreditkarte unter RMP gespeichert (private Kreditkarte). Besteht eine weitere Möglichkeit, diese abzuspeichern, außer als weiteres FP?

Antwort 
In den Amadeus Customer Profiles werden bestimmte Bereiche verschlüsselt: Dort kann die Kreditkartenummer hinterlegt werden. Es können mehrere FP Elemente im Profil hinterlegt und jeweils mit Freitext ergänzt werden.

Diese Bereiche werden in den Amadeus Customer Profiles verschlüsselt:                                                  
/G               Guarantee Option für Hotel und Car Segmente
SSR EPAY         Special Service Request für Electronic Payment
SSR FOID         SSR zur Form of Identification
FP               Form of Payment Element  

Frage
In welchem Format hinterlege ich den CVC-Code?

Antwort 
Der Kreditkarten-Sicherheitscode (auf der Rückseite der Kreditkarte) ist im PNR nach dem Sternchen verschlüsselt bzw. unsichtbar gespeichert.

Eingabebeispiel:

FPCCCA5499830000000015/1208*CV123         
 *CV123        nach dem Sternchen folgt CV und die Security Nummer

Ausgabe im gespeicherten PNR:

--- TST RLR ---                                                 
RP/MUC1A0701/MUC1A0701            LS/SU   8JUN06/1218Z   2JU7FE5
  1.CCTEST/TEST MR                                              
  2 ZZ140 B 20OCT 7 ORDMIA HK1       3  0814 1211   *1A/E*    
  3 AP 123123123-H                         
  4 TK OK25JUN/MUC1A0701           
  5 FM *M*5                                 
  6 FP CCDC3012123456789/1208*CV    <== Security Code nicht sichtbar

Der Kreditkarten Security Code darf keinesfalls im Amadeus Customer Profile hinterlegt werden!

Frage 
Was spricht gegen eine Speicherung der Kreditkarte unter RC***CORPCODE2*** ? Hier kann die Kreditkarten-Information nur innerhalb der Reisebürokette gelesen werden.

Antwort 
Diese Speicherung bedeutet, dass weltweit Büros dieser Kette die Kartenummer sehen können.
Problematisch ist es, wenn – wie sehr häufig – das RC Element im Profil vorbereitet ist. Dann ist es nämlich als "standard transferable data" dort abgelegt. Hier kann jeder, der Zugriff auf Ihre Profile hat, die Daten einsehen. Beispielsweise Softwarehäuser, mit denen Sie zusammenarbeiten und jeder, der sich aus irgendwelchen Gründen aufschalten darf. Sinn der Verschlüsselung ist es, dass nur wenige Mitarbeiter individuell per Sign In – freigeschaltet durch den Local Security Administrator des Büros – Einsicht erhalten.

Frage 
In welchen Feldern kann man die Kreditkartendaten so einpflegen, dass wir zwischen Reisestellenkarten und zwischen persönlichen Karten für Hotelgarantien unterscheiden können und die Datensicherheit auf diese Weise gewährleistet ist?

Antwort 
Es kann pro Hotelkette eine /G = Garantie eingepflegt werden - darüber hinaus zusätzlich jeweils pro Traveller Profile und Company Profile.

Hier ein Beispiel – weitere Informationen finden Sie unter >GGAMADECUS bzw. HE PROFILE

------- TRAVEL POLICIES - HOTEL                     
T  8 PHI/ CO:BW SR:COR ID:99009999                
T  9      CO:NS G:CCVIXXXXXXXXXXXX3333EXP1008        
  10      CO:HI G:CCVIXXXXXXXXXXXX3333EXP1008    
  11      CO:** G:CCAXXXXXXXXXXXX1004EXP0808    

Frage 
Wie kann ich Amadeus Customer Profiles zur Kontrolle ausdrucken?

Antwort 
Die Verfahrensweise ist beschrieben unter >GGAMADECUS bzw. HE PROFILE.

Frage 
Wenn der Reisende in seinem Profil zwei oder mehrere Kreditkarten besitzt und diese unterschieden werden sollen, z. B. als Privatkarte, dienstliche oder projektbezogen – wo kann diese Eingabe im Rahmen des FP-Elementes erfolgen? Wie kann man dort die Zusatzinformation unterbringen?

Antwort 
Pro Profil und "PNR transferable data" können mehrere FP (Form of Payment) Elemente angelegt werden. Über die Ergänzung von Freitext kann das FP Element spezifisch definiert werden. Den Kreditkartendaten wird ein Schrägstrich und Bindestrich angefügt. Der danach eingegebene Freitext dient nur der Information und wird nicht in den PNR übernommen.

Zusätzlich können nach der Zahlungsart Spezifika zur Anwendung ergänzt werden, z. B. für welche Fluggesellschaft welche Zahlungsart angewendet werden soll.

Eingabebeispiele:
=================                                                                              
FPCCCA5499830000002222/0808/-COMPANY CREDIT CARD       
FPCCCA5499830000007890/0808 *AL-LH           
FP INV *AL-BA,AF,AT                   
Weitere Beispiele finden Sie unter >HE PROFILE

Beispiel im gespeicherten Profil:
=================================
T* MARKERT/ULLI MRS                                      40XNV5               
------- PNR TRANSFERABLE DATA                       FRA1A0981                  
       1  A  NM  1MARKERT/ULLI MRS                       2  S  FP  CCCAXXXXXXXXXXXX2222/0808/-COMPANY CREDIT CARD                
       3  S  FP  CCCAXXXXXXXXXXXX1111/1008/-PRIVATE CR                         
       4  S  FP  CCCAXXXXXXXXXXXX7890/1109  *AL-LH                             
       5  S  FP  INV  *AL-BA,AF,AT                                             
END OF DISPLAY                                                                 

Ist ein Traveller Profile einem Company Profile zugeordnet, können Fare Elemente mit der *TA OPTION (CORPORATE ACTIVITY TYPE INDICATOR) versehen werden. Dann ist beispielsweise die Zahlungsart dem Company Profile zugeordnet.

Eingabebeispiel:
===============

FP CCCAX5499830000002222/0808 *TA-C

Ausgabe im Profil:
==================                                                                                
 *T* ARCHER/ALEX MR         C AMADEUS MARKETING           
 2LY26L                                                                 
 ------- PNR TRANSFERABLE DATA                       MUC1A0701 M
1  A  NM  1ARCHER/ALEX MR 
  C     2  S  FP  CCCAXXXXXXXXXXXX2222/0808   
END OF DISPLAY       

Zur Übernahme in den PNR sind die Transfer-Indikatoren der einzelnen Profilelemente von Bedeutung. Bei mehreren FP-Elementen muss der Indikator S (selektierbar) aktiviert sein, damit beim Transfer in den PNR das gewünschte FP Element selektiert werden kann. Andernfalls wird standardmäßig nur das erste FP-Element übernommen.

Zu den Definitionen und dem Setzen der Standards von Transfer-Indikatoren finden Sie Informationen zum Management Profile mit HEPDO oder der Eingabe:

>GGAMADECUS
AMADEUS CUSTOMER PROFILES                       
2. PD -      PROFILE DISPLAY UND NUTZUNG............................>MS208    
             -TRANSFERINDIKATOREN ('A','S','M')                 
             -MANAGEMENT PROFIL (>PDO)                                        

Frage 
Kann der Sicherheitscode der Kreditkarten im Amadeus Customer Profile hinterlegt werden?

Antwort 
Der Kreditkarten Security Code darf und kann überhaupt nicht geschützt im Profile hinterlegt werden.

Achtung: Der Kreditkarten Security Code oder Credit Card Value Code ist die drei- bis vierstellige, individuelle Ziffernkombination, die auf der Rückseite der Kreditkarte im Unterschriftenfeld nach der Kartennummer gedruckt ist. Dieser Security Code ist ein besonders sensibler Wert.

Der Kreditkarten Security Code darf nur hinterlegt werden in:

• SSR EPAY Special Service Request für Electronic Payment
• FP Form of Payment Elementen

Der Kreditkarten Security Code darf keinesfalls im Amadeus Customer Profile hinterlegt werden.

 
 Weitere Informationen zur Kreditkarten-Verschlüsselung finden Sie im Amadeus 
      Information System unter > GGAMADEKKV sowie zum Payment Card Industry Data 
      Security Standard PCI DSS im Internet unter https://www.pcisecuritystandards.org