Zahlungsabwicklung - Blog Marketeam Consulting Horst Armbruster - Marketeam-Consulting

Direkt zum Seiteninhalt

Hauptmenü:

PCI-Zertifizierung - was ist das denn

Herausgegeben von Horst Armbruster in Datenschutz · 19/11/2014 12:21:09
Tags: KreditkarteZertifizierungPCIDSSShopZahlungsabwicklung

Schon einmal was von PCI-DSS gehört?

PCI-DSS ist ein verpflichtender Sicherheitsstandard zur Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten. PCI-DSS regelt die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten in Unternehmen.


Doch was ist PCI-DSS überhaupt?

PCI-DSS ist ein verbindlicher Datensicherheitsstandard der Kreditkarten-Industrie, um Endkunden und Händler vor betrügerischen Angriffen zu schützen. Die Kreditkartendaten der Endkunden sollen so vor Diebstahl und Missbrauch geschützt werden. PCI-DSS umfasst sowohl die technische Spezifikation, als auch um eine Empfehlung für eine entsprechende Organisationstruktur beim Umgang mit Kunden-Kreditkartendaten innerhalb eines Unternehmens. Dieser Sicherheitsstandard muss von allen an Kreditkarten-Transaktionen Beteiligten eingehalten werden, um nicht in den kostspieligen Zertifizierungsprozess für PCI-DSS zu rutschen oder Strafen für regelwidriges Verhalten zu riskieren.

Was muss eigentlich beachtet werden?

Selbst kleine Unternehmen mit gelegentlichen Transaktionen müssen uneingeschränkt sicherstellen, dass in den eigenen Systemen weder Kreditkartendaten noch Peripherie-Daten wie der CVC, der dreistellige Sicherheitscode auf der Kreditkarten-Rückseite, gespeichert oder eingetragen werden – sei es auch nur zur Weiterleitung an den Zahlungsanbieter. Ganz einfach: Die eigenen EDV-Systeme dürfen zu keiner Zeit mit den Kreditkartendaten des Kunden in Berührung kommen. Nur dann kann der Händler die Verpflichtung zur PCI-DSS-Zertifizierung vermeiden.

Wann eine PCI-DSS Zertifizierung nötig ist und wann nicht

Es ist zunächst einmal wichtig die Beteiligten an einer Kreditkartentransaktion zu kennen: Der Kreditkarteninhaber, der Händler, der Zahlungsabwickler – der Payment-Service-Provider (PSP) und die Bank für die Kreditkartenabrechnung (Acquirer). Zusätzlich können die Shop-Software, ein Zahlungs-Plugin oder Modul in der Shop-Software und die Schnittstelle zur Bank oder zum Payment-Service-Provider betroffen sein.

Kriterien, die den Zwang zu einer Zertifizierung auslösen können

Es wird dem Kunden ein selbst entwickeltes und lokal geführtes Formular zur Abwicklung der Transaktion angeboten.
Der eigene ERP-Server nimmt die Kreditkartendaten entgegen.
Irgendwo auf den EDV-Systemen des Händlers werden die Kreditkartendaten gespeichert.

Wodurch kann eine Zertifizierung vermieden werden?


  • Nur Tools verwenden, die von einem zertifizierten Zahlungsanbieter zur Verfügung gestellt werden. Sicherstellen, dass die Tools/Plugins keinerlei Daten selbst entgegennehmen, sondern eine direkte Kommunikation zwischen Endkunden-Browser und dem System des Zahlungsanbieters etablieren.

  • Kreditkartendaten in keiner Form auf den eigenen Computersystemen speichern – weder durch den Kunden im Online-Shop oder durch eigene Mitarbeiter beim Telefonverkauf. Nötige Daten bei händischen Transaktionen tatsächlich besser ausdrucken und verschlossen bis zum Ende der Aufbewahrungsfrist aufbewahren!

  • Den kompletten Zahlungsvorgang über einen Zahlungsabwickler mit PCI-DSS-Zertifizierung abwickeln (Outsourcing).


Es ist noch nie etwas passiert – mögliche Folgen einer ignoranten Haltung

Die Nichteinhaltung der PCI-DSS Anforderung kann diverse Folgen haben: Nicht unerhebliche Strafzahlungen bis hin zum Verlust der Erlaubnis, Kartenzahlungen zu akzeptieren. Und ein Verlust dieser Erlaubnis erledigt das Thema „Kreditkartenzahlungen akzeptieren" nahezu vollständig, da kein Acquirer erneut einen Vertrag unterzeichnen wird. Erfolgt zum Beispiel ein Einbruch in die Computer-Systeme des Händlers, ist neben den dargestellten Auswirkungen die Auflage zu erwarten, sich einer PCI-DSS-Zertifizierung nach Level 1 zu unterziehen. Die Kosten dafür gehen in die Tausende und laufen permanent weiter, da ab diesem Zeitpunkt regelmäßige Überprüfungen der eigenen Systeme vorgesehen sind. Losgelöst hiervon können beträchtliche Forderungen zum Ersatz eines möglichen Schadens bei den weiteren Verfahrensbeteiligten auf den Händler zukommen.

Fazit

Wenn Sie Kreditkarten als Zahlungsmittel akzeptieren und keine PCI-DSS Zertifizierung haben oder wollen, vermeiden Sie jede Form der elektronischen Vorhaltung auf Ihren Computersystemen. Es kann sonst teuer werden und dem Image Ihres Unternehmens wenig zuträglich sein.

Weitere Informationen zum Thema Datenschutz





Suchen
Zurück zum Seiteninhalt | Zurück zum Hauptmenü