Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

E-Payment: 10 Gründe, warum Onlinehändler PCI-DSS kennen sollten

© Dron - Fotolia.com

Kaum jemand weiß über ihn Bescheid, doch jeder Online-Händler sollte ihn kennen: PCI-DSS ist ein verpflichtender Sicherheitsstandard zur Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten. Wir erklären den Standard und warum er so wichtig ist.

„Was bitte?“ Das dürfte die normale Reaktion der meisten Online-Händler auf die Frage nach PCI-DSS sein. Diese erlebte Realität deckt sich auch mit den Erkentnissen aus dem SagePay-Benchmark-Report, der zeigt, dass ein Viertel der befragten Händler mit dem Begriff PCI-DSS nichts anfangen konnte. Dabei ist dieser Sicherheitsstandard verpflichtend für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten in Onlineshops. Was immerhin der mithin wichtigste Prozess in einem Online-Shop ist – zumindest aus Betreiber-Sicht. Doch was ist PCI-DSS überhaupt? Und warum sollte ich mich als Shop-Betreiber um so etwas nebulöses wie einen Sicherheitsstandard kümmern? Macht das nicht mein Zahlungsabwickler, der Payment-Service-Provider? Diese Fragen und mehr beantworten wir euch im folgenden Artikel.

sicherheit
Bild: © Dron – Fotolia.com

Der Sicherheitsstandard PCI-DSS

PCI-DSS ist der Datensicherheitsstandard der Kreditkarten-Industrie, um Endkunden und Händler vor betrügerischen Attacken zu schützen und Sicherheitslücken zu vermeiden. Die Kreditkartendaten der Endkunden sollen so vor Diebstahl und Missbrauch geschützt werden. Es handelt sich sowohl um eine technische Spezifikation, als auch um eine empfohlene Organisationstruktur für den Umgang mit den sensiblen Kreditkartendaten der Kunden innerhalb eines Unternehmens. Dieser Sicherheitsstandard muss von allen an einer Kreditkarten-Transaktion beteiligten Parteien eingehalten werden. Um nicht in den kostspieligen Zertifizierungsprozess für PCI-DSS zu rutschen oder Strafen für regelwidriges Verhalten zu riskieren, kann die Lösung für einen kleinen Online-Händler auch schlicht „keinerlei Beteiligung an der Transaktion“ lauten.

Wo komme ich als Shop-Betreiber mit PCI-DSS in Berührung?

Ich bin viel zu klein, um mich mit so etwas auseinandersetzen zu müssen – und wenn doch, macht das mein Zahlungsanbieter. Ja – theoretisch richtig. Wichtig ist dabei, eindeutig sicherzustellen, dass in den eigenen Systemen weder Kreditkartendaten noch Peripherie-Daten wie der CVC, der dreistellige Sicherheitscode auf der Kreditkarten-Rückseite, gespeichert oder eingetragen werden – sei es auch nur zur Weiterleitung an den Zahlungsanbieter. Einfach ausgedrückt: Die eigenen Systeme dürfen an keiner Stelle mit den Kreditkartendaten des Kunden in Berührung kommen. Dann vermeidet der Online-Händler die Verpflichtung zur PCI-DSS-Zertifizierung.

sicherheit
Bei Kreditkartenzahlungen lieber auf Nummer sicher gehen. Zu groß sind der Schaden und der Image-Verlust beim Online-Händler. (Bild: © m.schuckart – Fotolia.com)

Wann eine PCI-DSS Zertifizierung nötig ist und wann nicht

Grundsätzlich sollte man einleitend wissen, wer an einer Kreditkartenzahlung alles beteiligt sein kann: der Kunde als Kreditkarteninhaber, der Online-Händler, der Zahlungsabwickler – der Payment-Service-Provider und die „Bank“, die für den Händler die Kreditkarten abrechnet – der Acquirer. Zusätzlich involviert sind die Shop-Software, das Zahlungs-Plugin oder Modul in der Shop-Software und die Schnittstelle zur Bank oder zum Payment-Service-Provider.

Kriterien, die zu einer Zertifizierung führen können

  • Es wird ein selbst entwickeltes und lokal ausgeführtes Check-Out-Formular verwendet.
  • Die im Onlineshop verwendete Zusatz-Software für die Zahlungsabwicklung nimmt direkt auf dem eigenen Server Kreditkartendaten entgegen.
  • In den eigenen Systemen werden Kreditkartendaten gespeichert.

Möglichkeiten eine Zertifizierung zu vermeiden

  • Nur Plugins verwenden, die vom Zahlungsanbieter zur Verfügung gestellt werden. Im Gespräch mit dem Zahlungsanbieter/Acquirer sicherstellen, dass Plugins keinerlei Daten selbst entgegennehmen, sondern eine direkte Kommunikation zwischen Endkunden-Browser und dem System des Zahlungsanbieters etablieren.
  • Keine Kreditkartendaten intern speichern, auch nicht im Telefon- oder Direktverkauf. Nötige Daten bei händischen Transaktionen tatsächlich lieber ausdrucken und verschlossen bis zum Ende der Aufbewahrungsfrist aufbewahren.
  • Den kompletten Zahlungsvorgang outsourcen an einen Zahlungsabwickler mit PCI-DSS-Zertifizierung.

Will man die Kreditkartendaten auf jeden Fall selbst verwalten, muss die PCI-DSS-Zertifizierung durchgeführt werden. Für kleinere Unternehmen mit unter 20.000 Transaktionen jährlich ist eine Zertifizierung schon ab einer kleineren dreistelligen Summe pro Jahr möglich. Nähere Informationen zur PCI-Zertifizierung finden sich im PDF-Format in der Spezial-Ausgabe PCI des E-Commerce-Leitfaden, einer Initiative von ibi Research an der Universität Regensburg.

Passiert schon nichts – Die möglichen Folgen einer ignoranten Haltung

Die Nichteinhaltung der PCI-Standards kann unterschiedliche Folgen haben: Strafzahlungen vom Acquirer bis hin zum Verlust der Erlaubnis, Kartenzahlungen zu akzeptieren. Und ein Verlust dieser Erlaubnis erledigt das Thema „Kreditkartenzahlungen akzeptieren“ nahezu vollständig, da kein Acquirer erneut einen Vertrag unterzeichnen wird. Dann bleiben nur noch Zahlungsanbieter übrig, die es ohne Acquiring-Vertrag ermöglichen, Kreditkartenzahlungen zu akzeptieren. Diese Maßnahme ist glücklicherweise selten, eher üblich sind wie erwähnt Strafzahlungen oder, falls ein Einbruch in die Händler-Systeme erfolgte, auch die Auflage, sich einer PCI-DSS-Zertifizierung nach Level 1 zu unterziehen. Die Kosten dafür gehen in die Tausende und laufen permanent weiter, da ab diesem Zeitpunkt regelmäßige Überprüfungen der eigenen Systeme vorgesehen sind.

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
christof_versacommerce.de

PCI-DSS nicht zu beachten, kann sich kein Händler leisten. Der "GAU" eines Einbruchs kann dann schnell zu finanziellen Konsequenzen führen, die sogar das gesamte Geschäft bedrohen. Wer kommerzielle Shop-Systeme nutzt, ist aber in der Regel fein raus, da dort die Standards zentral vorgegeben/eingehalten werden, bei unserem Shop-System (www.versacommerce.de) ist das jedenfalls so :) ...

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen