Anzeige
Anzeige
E-Commerce
Artikel merken

E-Payment: 10 Gründe, warum Onlinehändler PCI-DSS kennen sollten

Kaum jemand weiß über ihn Bescheid, doch jeder Online-Händler sollte ihn kennen: PCI-DSS ist ein verpflichtender Sicherheitsstandard zur Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten. Wir erklären den Standard und warum er so wichtig ist.

Von Jochen G. Fuchs
3 Min. Lesezeit
Anzeige
Anzeige
© Dron - Fotolia.com

„Was bitte?“ Das dürfte die normale Reaktion der meisten Online-Händler auf die Frage nach PCI-DSS sein. Diese erlebte Realität deckt sich auch mit den Erkentnissen aus dem SagePay-Benchmark-Report, der zeigt, dass ein Viertel der befragten Händler mit dem Begriff PCI-DSS nichts anfangen konnte. Dabei ist dieser Sicherheitsstandard verpflichtend für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten in Onlineshops. Was immerhin der mithin wichtigste Prozess in einem Online-Shop ist – zumindest aus Betreiber-Sicht. Doch was ist PCI-DSS überhaupt? Und warum sollte ich mich als Shop-Betreiber um so etwas nebulöses wie einen Sicherheitsstandard kümmern? Macht das nicht mein Zahlungsabwickler, der Payment-Service-Provider? Diese Fragen und mehr beantworten wir euch im folgenden Artikel.

sicherheit

Bild: © Dron – Fotolia.com

Der Sicherheitsstandard PCI-DSS

Anzeige
Anzeige

PCI-DSS ist der Datensicherheitsstandard der Kreditkarten-Industrie, um Endkunden und Händler vor betrügerischen Attacken zu schützen und Sicherheitslücken zu vermeiden. Die Kreditkartendaten der Endkunden sollen so vor Diebstahl und Missbrauch geschützt werden. Es handelt sich sowohl um eine technische Spezifikation, als auch um eine empfohlene Organisationstruktur für den Umgang mit den sensiblen Kreditkartendaten der Kunden innerhalb eines Unternehmens. Dieser Sicherheitsstandard muss von allen an einer Kreditkarten-Transaktion beteiligten Parteien eingehalten werden. Um nicht in den kostspieligen Zertifizierungsprozess für PCI-DSS zu rutschen oder Strafen für regelwidriges Verhalten zu riskieren, kann die Lösung für einen kleinen Online-Händler auch schlicht „keinerlei Beteiligung an der Transaktion“ lauten.

Wo komme ich als Shop-Betreiber mit PCI-DSS in Berührung?

Ich bin viel zu klein, um mich mit so etwas auseinandersetzen zu müssen – und wenn doch, macht das mein Zahlungsanbieter. Ja – theoretisch richtig. Wichtig ist dabei, eindeutig sicherzustellen, dass in den eigenen Systemen weder Kreditkartendaten noch Peripherie-Daten wie der CVC, der dreistellige Sicherheitscode auf der Kreditkarten-Rückseite, gespeichert oder eingetragen werden – sei es auch nur zur Weiterleitung an den Zahlungsanbieter. Einfach ausgedrückt: Die eigenen Systeme dürfen an keiner Stelle mit den Kreditkartendaten des Kunden in Berührung kommen. Dann vermeidet der Online-Händler die Verpflichtung zur PCI-DSS-Zertifizierung.

Anzeige
Anzeige
sicherheit

Bei Kreditkartenzahlungen lieber auf Nummer sicher gehen. Zu groß sind der Schaden und der Image-Verlust beim Online-Händler. (Bild: © m.schuckart – Fotolia.com)

Wann eine PCI-DSS Zertifizierung nötig ist und wann nicht

Grundsätzlich sollte man einleitend wissen, wer an einer Kreditkartenzahlung alles beteiligt sein kann: der Kunde als Kreditkarteninhaber, der Online-Händler, der Zahlungsabwickler – der Payment-Service-Provider und die „Bank“, die für den Händler die Kreditkarten abrechnet – der Acquirer. Zusätzlich involviert sind die Shop-Software, das Zahlungs-Plugin oder Modul in der Shop-Software und die Schnittstelle zur Bank oder zum Payment-Service-Provider.

Anzeige
Anzeige

Kriterien, die zu einer Zertifizierung führen können

  • Es wird ein selbst entwickeltes und lokal ausgeführtes Check-Out-Formular verwendet.
  • Die im Onlineshop verwendete Zusatz-Software für die Zahlungsabwicklung nimmt direkt auf dem eigenen Server Kreditkartendaten entgegen.
  • In den eigenen Systemen werden Kreditkartendaten gespeichert.

Möglichkeiten eine Zertifizierung zu vermeiden

Anzeige
Anzeige
  • Nur Plugins verwenden, die vom Zahlungsanbieter zur Verfügung gestellt werden. Im Gespräch mit dem Zahlungsanbieter/Acquirer sicherstellen, dass Plugins keinerlei Daten selbst entgegennehmen, sondern eine direkte Kommunikation zwischen Endkunden-Browser und dem System des Zahlungsanbieters etablieren.
  • Keine Kreditkartendaten intern speichern, auch nicht im Telefon- oder Direktverkauf. Nötige Daten bei händischen Transaktionen tatsächlich lieber ausdrucken und verschlossen bis zum Ende der Aufbewahrungsfrist aufbewahren.
  • Den kompletten Zahlungsvorgang outsourcen an einen Zahlungsabwickler mit PCI-DSS-Zertifizierung.

Will man die Kreditkartendaten auf jeden Fall selbst verwalten, muss die PCI-DSS-Zertifizierung durchgeführt werden. Für kleinere Unternehmen mit unter 20.000 Transaktionen jährlich ist eine Zertifizierung schon ab einer kleineren dreistelligen Summe pro Jahr möglich. Nähere Informationen zur PCI-Zertifizierung finden sich im PDF-Format in der Spezial-Ausgabe PCI des E-Commerce-Leitfaden, einer Initiative von ibi Research an der Universität Regensburg.

Passiert schon nichts – Die möglichen Folgen einer ignoranten Haltung

Die Nichteinhaltung der PCI-Standards kann unterschiedliche Folgen haben: Strafzahlungen vom Acquirer bis hin zum Verlust der Erlaubnis, Kartenzahlungen zu akzeptieren. Und ein Verlust dieser Erlaubnis erledigt das Thema „Kreditkartenzahlungen akzeptieren“ nahezu vollständig, da kein Acquirer erneut einen Vertrag unterzeichnen wird. Dann bleiben nur noch Zahlungsanbieter übrig, die es ohne Acquiring-Vertrag ermöglichen, Kreditkartenzahlungen zu akzeptieren. Diese Maßnahme ist glücklicherweise selten, eher üblich sind wie erwähnt Strafzahlungen oder, falls ein Einbruch in die Händler-Systeme erfolgte, auch die Auflage, sich einer PCI-DSS-Zertifizierung nach Level 1 zu unterziehen. Die Kosten dafür gehen in die Tausende und laufen permanent weiter, da ab diesem Zeitpunkt regelmäßige Überprüfungen der eigenen Systeme vorgesehen sind.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
3 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

christof_versacommerce.de

PCI-DSS nicht zu beachten, kann sich kein Händler leisten. Der „GAU“ eines Einbruchs kann dann schnell zu finanziellen Konsequenzen führen, die sogar das gesamte Geschäft bedrohen. Wer kommerzielle Shop-Systeme nutzt, ist aber in der Regel fein raus, da dort die Standards zentral vorgegeben/eingehalten werden, bei unserem Shop-System (www.versacommerce.de) ist das jedenfalls so :) …

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige