tl;dr

Auf Kreditkartenzahlung kann man im e-Commerce nicht verzichten. Durch Verbannung der Kreditkartendaten aus dem Verantwortungsbereich des Unternehmens lässt sich das Risko einer Non-Compliance mit vergleichsweise geringem Aufwand erheblich eindämmen.

Clevere Zertifizierung nach PCI-DSS

Die Kreditkarte ist eine der wichtigsten Zahlungsarten im touristischen e-Commerce. Ferner werden auch am Counter viele Produkte mit Karte bezahlt. Insofern stellt sich für jedes Unternehmen, das Kreditkarten als Zahlungsverfahren akzeptiert, die Frage nach dem Umgang mit den dabei anfallenden Daten.

Risiko Kreditkartendaten-Diebstahl

Ein Kreditkartendaten-Diebstahl im Einflussbereich des Unternehmens kann – je nach Umfang - weitreichende Folgen haben. Zu erwarten sind

  • Kostspielige forensische Untersuchungen
  • Schadensersatzansprüche und Strafzahlungen
  • Reputationsverlust durch öffentliche Berichterstattung
  • Vertrauensverlust bei Kunden, was zu dauerhaften Umsatzeinbußen führen kann

Werden Mängel im Bereich des Datenschutzes und der Datensicherheit beim Unternehmen festgestellt, gilt das in der Regel als Non-Compliance zum Vertrag mit der Kartenorganisation bzw. dem Acquirer.

Rechenbeispiel

Ein Händler mit monatlich 500 Kartenzahlungen speichert über 2 Jahre Kartendaten. Etwa 10.000 Karteninhaber-Datensätze werden gestohlen und missbräuchlich eingesetzt.

Im Schadenfall eintretende direkte Kosten:

  • Fallpauschale (Buße) EUR 50.000
  • Forensic Investigation EUR 50.000
  • Gerichtskosten EUR 50.000
  • Kartenersatz EUR 50.000 (EUR 5 / Karte)
  • Dispute Cost EUR 500.000 (EUR 50 / Karte)
  • Schaden (Einsatz)EUR 1.000.000 (EUR 100 / Karte)

Kosten insgesamt EUR 1.700.000

Strategie zur Risikoeindämmung

Jedes Unternehmen, das Kreditkartendaten speichert, übermittelt, oder auch nur einen Bruchteil einer Sekunde über die eigenen Server verarbeitet, ist verpflichtet, den PCI DSS Standard einzuhalten. Dies ergibt sich aus einer Kette von Vertragsbeziehungen von der Kartenorganisation über den Acquirer zum Händler.

Kann der Händler nachweisen, dass er zum Zeitpunkt des Kreditkartendiebstahls PCI DSS konform war, kann er die Haftungsfrage massiv begrenzen:

  • Risiken werden minimiert, so dass besserer Schutz für Kunden und Händler besteht
  • Händler werden nicht von den Kartenorganisationen sanktioniert
  • Folgeschäden werden zudem von den Kartenorganisationen getragen
  • Keine Rufschädigung, wodurch es keinen Vertrauensverlust gibt

Eine Strategie zur Risikoeindämmung liegt demnach in einer Zertifizierung der Zahlungsprozesse nach PCI DSS.

Ansatz: Reduzierung des Geltungsbereichs

Durch Verbannung der Kreditkarteninhaberdaten aus dem Einflussbereich der vom Unternehmen zu verantwortenden Prozesse wird die Zertifizierung je nach Händlerklasse stark vereinfacht.


Für die meisten Unternehmen kommt dabei der Selbstauskunftsfragebogen (SAQ) Typ A zur Anwendung, der 13 Anforderungen beinhaltet, die generell jedes datenverarbeitende Unternehmen erfüllen sollte.

Damit die erforderlichen Massnahmen auf SAQ A beschränkt bleiben, muss sichergestellt sein, dass beim Zahlungsprozess die Kreditkarte nicht physisch vorliegt und alle Funktionen der Zahlungsdurchführung zu einem entsprechend zertifizierten Dienstleister ausgelagert sind. Es darf keine elektronische Kartendatenspeicherung in den Systemen des Unternehmens erfolgen.

Trennung der Datenströme

Der Einsatz einer PCI Proxy Lösung stellt einen einfachen und kostengünstigen Weg zur Erlangung der PCI Konformität dar. Beim PCI Proxy handelt es sich um eine Software, die von einem Spezialisten, häufig ein Payment Service Provider, in einem PCS DSS zertifizierten Prozess betrieben wird.

Diese Software agiert wie eine Datenweiche mit nachgelagertem Suchen-und-Ersetzen-Filter. Vom Webshop werden die Transaktionsdaten an die Weiche gesendet. Datensätze mit Kreditkartendaten werden von der Weiche über ein Nebengleis zum Filter geleitet. Dieser speichert die Kreditkartendaten bildlich gesprochen in einem Datentresor und setzt statt der Kreditkartendaten lediglich die Nummer des Schließfaches als Stellvertreter in die Transaktion ein. Danach wird die Transaktion über die Weiche in den weiteren Verarbeitungsprozess eingespielt. Die stellvertretende Schließfachnummer wird technisch oft als Token bezeichnet. Der Rest des Datensatzes der Transaktion bleibt identisch und kann wie zuvor verarbeitet werden.

Der sogenannte Token kann nun für verschiedene Prozesse im blauen Bereich, wie bis anhin die Kartennummer, eingesetzt werden: Er kann an eine zertifizierte Drittpartei weitergeleitet oder direkt abgerechnet werden. Auch die Ansicht einzelner Kartennummern ist möglich.

Mehr Infos zu diesem Verfahren gibt es auf www.pci-proxy.com

Fazit

Bedenkt man die erheblichen drohenden Kosten, die aus einem Fall der Nicht-Konformität mit den PCI DSS Anforderungen resultieren können, und zieht man die deutlich gestiegene Eintrittswahrscheinlichkeit von Datendiebstahl aufgrund weltweit zunehmender Internet-Kriminalität in Betracht, sollte eine Strategie der Risikoeindämmung im Interesse eines jeden Unternehmens liegen, das Zahlungen mit Kreditkarten akzeptiert.

Zurück