Fachartikel

Virtualisierung und PCI-Konformität beim Reiseanbieter

Ob Seychellen, Neuseeland oder Florida: Reiseanbieter können sich derzeit nicht über fehlende Nachfrage beschweren. Dennoch brauchen sie sichere elektronische Prozesse, um das Vertrauen der Kunden dauerhaft zu bewahren. So musste sich das DER Deutsche Reisebüro der Herausforderung stellen, innerhalb von wenigen Monaten den Verkauf von Flugtickets nach dem PCI-Standard der Kreditkartenorganisationen auszurichten. Mithilfe einer Virtualisierungslösung gelang es dem IT-Team, das Projekt in kürzester Zeit und ohne IT-Ausfallzeiten umzusetzen.
Mit einem Virtualisierungsgrad von 98 Prozent ist DER Deutsches Reisebüro gut aufgestellt.
Bevor Reisende ihr Traumziel anfliegen können, muss die Reise erst gebucht sein. Hier stand das DER Deutsches Reisebüro mit rund 2500 Mitarbeitern vor einer großen Herausforderung. Das Unternehmen gehört zur Dachmarke DER Touristik, die zu den führenden Reisekonzernen in Europa zählt. 7,7 Millionen Gäste aus 14 europäischen Ländern verreisen pro Jahr mit den Veranstaltern der DER Touristik in 179 Reiseländer weltweit.

Kreditkartendaten essenziell bei einer Buchung
Die Herausforderung war für DER Deutsches Reisebüro das sichere Kreditkarten-Handling. Sie werden für nahezu jede Reise benötigt und sind bei der Flugbuchung nicht mehr wegzudenken. Um größere Sicherheit für Kunden und Unternehmen vor Datendiebstahl und Kreditkartenbetrug zu gewährleisten, wurde von den Kreditkartenorganisationen ein weltweit verbindlicher Standard definiert: der Payment Card Industry Data Security Standard (PCI DSS). Handelsunternehmen und Dienstleister, die Kreditkartentransaktionen speichern, übermitteln oder abwickeln, müssen die Regelungen erfüllen.

Zu den zwölf Anforderungen an die Rechnernetze zählen der Schutz der gespeicherten Kreditkartendaten, die Installation und Pflege einer Firewall zum Schutz der Daten sowie das Protokollieren und Prüfen aller Zugriffe auf Kreditkartendaten. Auch für die Reisebranche gilt dieser Standard. So sah sich DER Deutsches Reisebüro vor der Herausforderung, Prozesse im IT-Bereich neu aufzusetzen, um das PCI-Zertifikat zu erhalten.
"Als das PCI-Projekt startete, war ich erst wenige Tage bei DER Deutsches Reisebüro. Ich wusste, dass es ein Sprung ins kalte Wasser werden würde. Aber, dass das Wasser so eiskalt sein würde, damit hatte ich nicht gerechnet", beschreibt Dominik Reifschneider, Systems Engineer bei DER, seine Gefühle zum Projektstart. Die Herausforderungen für die ganze IT-Abteilung waren immens: "Der Druck war groß, denn ein Reiseanbieter ohne Kreditkartenlösung ist wie ein Auto ohne Räder. Der Zeitraum bis zur operativen Umsetzung betrug lediglich sechs Monate. Zudem mussten wir Umsatzeinbußen durch eine IT-Umstellung und damit Ausfallzeiten minimieren beziehungsweise verhindern", erläutert Sascha Karbginski, Director IT Operations & Support.

Jeder Tag mit nicht nutzbarer Kreditkartenfunktion hätte für DER bedeutet, das Vertrauen der Kunden zu verlieren – und das in der Hochsaison. Die dritte Herausforderung bestand darin, dass wichtige und sehr umfangreiche Projekt lediglich mit einer kleinen, aus drei Mitarbeitern bestehenden IT-Abteilung zu bewältigen.

Entscheidung für Netzwerkvirtualisierungsplattform
DER hat mit den Virtualisierungslösungen von VMware schon sehr gute Erfahrungen gesammelt. 2009 kam für die Virtual Desktop Infrastructure (VDI) mit VMware Horizon ein Produkt zum Einsatz, mit dessen Hilfe alle Daten der rund 2500 Mitarbeiter zentral im virtuellen Rechenzentrum von DER Deutsches Reisebüro gehostet wurden. Daher setzte das Team um Karbginski auf zwei weitere VMware-Produkte, um die PCI-Compliance-Anforderungen zu erfüllen und damit die Kreditkartenprozesse abzusichern: Die Netzwerkvirtualisierungsplattform NSX Data Center und vRealize Network Insight. In der Umsetzung unterstützte VMware-Partner MightyCare Solutions.
28.08.2019/ln/Gerd Pflueger, NSX Systems Engineer EMEA bei VMware

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen