Sorry, you need to enable JavaScript to visit this website.
Vielen Dank für Ihre Kontaktanfrage. Wir werden uns bei Ihnen schnellstmöglich zurückmelden.
Novalnet Online Zahlung

Was ist eine PCI-Zertifizierung?

  |   Kalender     |   0 Kommentare
Fast ein Viertel der Online-Händler in Deutschland hat von der PCI-Zertifizierung noch nie etwas gehört. Dabei sollte dies jedem Online-Händler ein Begriff sein, handelt es sich doch um einen verpflichtenden Sicherheitsstandard für die Entgegennahme, Weiterleitung und Speicherung von Zahlungsdaten. Wir erklären, warum die PCI-Zertifizierung so wichtig ist.

PCI-DSS – Sicherheitsstandard für Kreditkartendaten

Hinter dem Kürzel PCI-DSS (Payment Card Industry Security Standard) verbirgt sich ein Sicherheitsstandard für Kreditkartendaten, der für sämtliche Einrichtungen, die Karteninhaberdaten verarbeiten, bindend ist. Ziel dieses von American Express, MasterCard, Visa Inc., JCB International und Discover Financial Services entwickelten Datensicherheitsstandards ist der Schutz von Online-Händlern und Endkunden vor betrügerischen Attacken, Kartenmissbrauch und Diebstahl. Sicherheitslücken sollten dank der Berücksichtigung dieses Standards vermieden werden. Dabei handelt es sich nicht nur um eine empfohlene Organisationsstruktur für die Behandlung von sensiblen Karteninhaberdaten innerhalb des betreffenden Unternehmens, sondern auch um eine technische Spezifikation. Grundvoraussetzung für diesen Sicherheitsstandard ist, dass er von allen Parteien berücksichtigt wird, die an der Kreditkartentransaktion beteiligt sind. Allerdings kann für Online-Händler, die den teuren PCI-Zertifizierungsprozess vermeiden und Strafen für regelwidriges Verhalten umgehen wollen, die Lösung auch lauten, dass sie sich schlichtweg nicht an der Transaktion beteiligen.

Kriterien für die PCI-Zertifizierung

Um beurteilen zu können, wann eine PCI-Zertifizierung erforderlich ist, sollte man wissen, welche Parteien an einer Kreditkartentransaktion beteiligt sein können. Hierzu zählen neben dem Kreditkarteninhaber, also dem Kunden, der Online-Händler, der Acquirer, also die Bank, die für den Online-Händler die Kreditkarten abrechnet, sowie der Payment-Service-Anbieter – der Zahlungsabwickler. Darüber hinaus sind das Zahlungsmodul oder -Plugin in der Shop-Software, die Shop-Software an sich und die Schnittstelle zum Payment-Service-Provider beziehungsweise zur Bank involviert. Eine PCI-Zertifizierung ist immer dann erforderlich, wenn ein lokal ausgeführtes und selbst entwickeltes Checkout-Formular genutzt wird. Aber auch, wenn die Zusatzsoftware für die Zahlungsabwicklung, die im Onlineshop verwendet wird, die Kreditkartendaten auf dem eigenen Server entgegennimmt, ist eine PCI-Zertifizierung unumgänglich. Gleiches gilt für den Fall, wenn die Karteninhaberdaten in den eigenen Systemen gespeichert werden.

Wann Online-Händler die PCI-Zertifizierung umgehen können

Vor allem kleine Shopbetreiber stellen sich vielfach die Frage, ob sie sich tatsächlich mit der PCI-Zertifizierung auseinandersetzen müssen oder ob dies nicht der Zahlungsanbieter übernimmt. Voraussetzung hierfür ist jedoch, dass an keiner Stelle im eigenen System Karteninhaberdaten oder Peripherie-Daten, wie etwa der dreistellige Sicherheitscode der Kreditkarte, verarbeitet oder gespeichert werden. Nur dann kann der Online-Händler die Pflicht zur PCI-Zertifizierung umgehen. Konkret bedeutet dies, dass nur Plugins genutzt werden, die der Zahlungsanbieter beziehungsweise Acquirer bereitstellt. Online-Händler sollten sich zudem versichern, dass die Daten nicht in den Plugins entgegengenommen werden, sondern direkt vom Endkunden-Browser an das System des Zahlungsanbieters übertragen werden. Des Weiteren dürfen keinerlei Kreditkartendaten intern gespeichert werden. Dies gilt auch für den Direkt- oder Telefonverkauf. Sollten bei händischen Transaktionen die entsprechenden Daten erforderlich sein, ist es ratsam, diese auszudrucken und aufzubewahren – und zwar nur bis zum Ablauf der Aufbewahrungsfrist. Online-Händler können die PCI-Zertifizierung auch umgehen, wenn sie den gesamten Zahlungsvorgang an einen Zahlungsabwickler abgeben, der über eine Zertifizierung gemäß PCI-DSS verfügt. Sollte keines dieser Kriterien vorliegen, der Online-Händler also die Karteninhaberdaten selbst verwalten, ist die Durchführung einer PCI-Zertifizierung unumgänglich. Allerdings liegen die Kosten für eine jährliche PCI-Zertifizierung lediglich im dreistelligen Bereich, wenn das betreffende Unternehmen nicht mehr als 20.000 Kreditkartentransaktionen im Jahr durchführt. Die Richtlinien, die der PCI-Zertifizierung zugrunde liegen, werden jedes Jahr überprüft und erneuert.

Folgen einer fehlenden PCI-Zertifizierung

Unterlassen Online-Händler eine PCI-Zertifizierung, obwohl sie Karteninhaberdaten verarbeiten oder speichern, kann dies weitreichende Folgen haben. In der Regel wird die Nichteinhaltung dieser Richtlinien Strafzahlungen vonseiten des Acquirers nach sich ziehen. Darüber hinaus besteht jedoch die Gefahr, dass Online-Händler die Erlaubnis verlieren, Kreditkartenzahlung zu akzeptieren. Dies bedeutet jedoch, dass die betreffenden Online-Händler nie wieder Kartenzahlungen akzeptieren können, da voraussichtlich kein anderer Acquirer einen Akzeptanzvertrag unterschreiben wird. Die Auswahl beschränkt sich dann auf Zahlungsabwickler, die die Akzeptanz einer Kreditkartenzahlung auch ohne Acquiring-Vertrag ermöglichen. Allerdings ist diese Maßnahme eher der Ausnahmefall. Sollte in die Händler-Systeme eingebrochen worden sein und es lag keine PCI-Zertifizierung vor, wird zumeist die Auflage verhängt, dass sich der betreffende Händler der PCI-Zertifizierung nach Level 1 unterziehen muss. Die hierfür anfallenden Kosten können sich auf mehrere Tausend Euro belaufen und werden jedes Jahr aufs Neue fällig, da die eigenen Systeme ab diesem Zeitpunkt in regelmäßigen Abständen überprüft werden müssen.

Über den Autor Holger Bosk

Holger Bosk ist Chief Software Architect bei der Novalnet AG. Zu dem hat er noch jahrelange Erfahrung im Payment-Sektor ...

facebook twitter google plus xing linkedin