eCommerce S p e c i a l
E-COMMERCE-SPECIAL PRAXISWISSEN FÜR ONLINE-HÄNDLER
PCI: Der richtige Umgang mit Kreditkartendaten
E-COMMERCE-LEITFADEN www.ecommerce-leitfaden.de
E-Commerce-Special Nr. 1 | ISBN: 978-3-940416-14-8 ISSN: 1869-1471
PCI: Der richtige Umgang mit Kreditkartendaten
Dieses E-Commerce-Special wird Ihnen zur Verfügung gestellt von
Über ConCardis Die ConCardis GmbH in Frankfurt am Main ist eines der führenden Serviceunternehmen im Bereich des bargeldlosen Zahlungsverkehrs. Als Gemeinschaftsunternehmen der deutschen Kreditwirtschaft erbringt ConCardis für circa 400.000 Akzeptanzstellen Serviceleistungen rund um das kartengestützte Bezahlen. Unternehmen, die Kredit- oder Debitkarten akzeptieren möchten, erhalten ein komplettes Lösungsangebot: vom Akzeptanzvertrag oder Terminal für das Präsenzgeschäft bis hin zu besonderen Dienstleistungen zur Optimierung der mit der Kartentransaktion verbundenen Abläufe. Darüber hinaus stellt ConCardis selbstverständlich auch eine große Auswahl an Bezahlverfahren für den E-Commerce und den Versandhandel zur Verfügung. Das Thema „Sicherheit im bargeldlosen Zahlungsverkehr” hat für ConCardis eine hohe Priorität – sowohl im Präsenzgeschäft als auch im Bereich Fernabsatz. Nicht zuletzt aus diesem Grund nimmt das Unternehmen im Bereich der Sicherheitstechnologie eine Vorreiterrolle ein. Um der steigenden Nachfrage nach sicheren E-Commerce-Produkten gerecht zu werden, bietet ConCardis für interessierte Händler aus dem Bereich E-Commerce und Versandhandel eine eigene Payment-Software, die ConCardis PayEngine, an. In Kürze wird die ConCardis PCI-Plattform online gehen, auf der Händler umfassende Informationen über die einzuhaltenden Auskunfts- und Dokumentationsprozesse finden und sich gemäß den Vorgaben der Kartenorganisationen zertifizieren lassen können. Zusätzlich stehen kompetente Ansprechpartner telefonisch und per Mail bei Fragen zur Verfügung. ConCardis Kunden können sich kostenfrei registrieren. Weitere Informationen: www.concardis.com
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
2
PCI: Der richtige Umgang mit Kreditkartendaten
Inhalt 1. Einleitung................................................................................................................................................................. 4 2. Erste Schritte zur Compliance................................................................................................................................ 5 3. Wie funktioniert die Zertifizierung?........................................................................................................................ 5 4. Die zwölf Anforderungen von PCI............................................................................................................................ 7 5. Welche Daten dürfen gespeichert werden und welche nicht?................................................................................ 8 6. Fragen und Antworten............................................................................................................................................. 9
Glossar....................................................................................................................................................................... 11 Über das E-Commerce-Special................................................................................................................................. 15 Der E-Commerce-Leitfaden...................................................................................................................................... 15 Partner des E-Commerce-Leitfadens....................................................................................................................... 16 Impressum................................................................................................................................................................. 19 Haftungsausschluss................................................................................................................................................... 20 Infoanforderung......................................................................................................................................................... 21
Abkürzungen ASV
Approved Scanning Vendor
B2C
Business-to-Consumer
C2C
Consumer-to-Consumer
MOTO
Mail Order / Telephone Order
PA-DSS
Payment Application Data Security Standard
PCI (DSS)
Payment Card Industry (Data Security Standards)
PIN
Persönliche Identifikationsnummer
POS
Point of Sale
PSP
Payment Service Provider
QSA
Qualified Security Assessor
ROI
Return on Investment
SAQ
Self Assessment Questionnaire
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
3
PCI: Der richtige Umgang mit Kreditkartendaten
Einleitung
Dabei sind die ersten Schritte in Richtung Sicherheit gar nicht so schwer. Die Installation einer
Der Missbrauch von gestohlenen Kreditkartendaten ist ein Thema, welches in regelmäßigen Abständen durch die Presse geht. Auch im OnlineHandel kommen solche Betrügereien immer wieder vor, was zur Verunsicherung der Kunden und zu finanziellen Verlusten der Händler führt. Um das Vertrauen der Verbraucher in die Bezahlform Kreditkarte zu stärken und um den Händler zu schützen, haben die Kreditkartenorganisationen gemeinsame Sicherheitsstandards beim Umgang
Firewall auf dem Computer oder der Gebrauch einer auf dem aktuellen Stand gehaltenen Anti-VirusSoftware sollten eigentlich eine Selbstverständlichkeit sein, sowohl bei der geschäftlichen als auch der privaten PC-Nutzung. Tipps zur Überprüfung von Kartendaten und zum Fernabsatz im Allgemeinen finden sich nicht nur im E-Commerce-Leitfaden, sondern auch an zahlreichen Stellen im Internet. Auch sind die mit dem Thema PCI vertrauten Zertifizierer immer gerne zur Auskunft bereit.
mit Karten- und Transaktionsdaten geschaffen. Die Payment Card Industry Data Security Standards, kurz PCI genannt, umfassen eine Reihe von verbindlichen Regeln für alle Parteien, die Kartendaten verarbeiten, speichern oder weiterleiten. Händler sind hier genauso mit eingeschlossen wie Acquirer, Payment Service Provider (PSP) oder Drittdienstleister. Leider werden diese Regeln nicht immer mit Begeisterung aufgenommen. Gerade große Unternehmen mit komplexen Kassensystemen beklagen den hohen technischen Aufwand und die Implementierungskosten, die mit einer PCI-konformen Ausrichtung ihrer EDV-Systeme verbunden sind. Eine Missachtung der PCI-Vorgaben kann bei Datenkompromittierung jedoch zu hohen Strafen der Kartenorganisationen führen, ganz zu schweigen von einer massiven Image-Schädigung. Der Vorwurf, dass PCI nicht anwenderfreundlich sei, kann auch aus dem Grund nicht gehalten werden, weil mittlerweile rund 500 Institutionen Mitglied im Beratergremium der Regelgeber sind. Die Mitgliedschaft steht jedem offen und wird bisher unter anderem von Hotelketten, Fluggesellschaften oder Software-Unternehmen wahrgenommen. Zusätzlich sind alle kartenakzeptierenden Unternehmen eingeladen, Verbesserungsvorschläge zu unterbreiten. Viele unternehmensseitige Anregungen wurden bereits in den Standard eingearbeitet. So stammt auch der Vorschlag der Einführung eines Gütesiegels aus dem großen Kreis der kartenakzeptierenden Händler. Diese Möglichkeit wird zurzeit noch vom Gremium diskutiert und würde einen weiteren Schritt bei der Schaffung von Kundenvertrauen bedeuten.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
4
PCI: Der richtige Umgang mit Kreditkartendaten
Erste Schritte zur Compliance
Wie funktioniert die Zertifizierung?
Grundsätzlich ist jedes Unternehmen, welches
Zur PCI-Zertifizierung werden bei Händlern
Kartendaten speichert, verarbeitet oder übermittelt,
aller Kategorien sogenannte Security Scans durch-
dazu verpflichtet, PCI-compliant zu sein, das heißt
geführt, welche das Ziel haben, Schwachstellen in
für die Sicherheit der Kartendaten zu sorgen. Der
Architektur und Konfiguration der untersuchten
erste Schritt ist die Registrierung bei einem Zerti-
Systeme aufzudecken, die ein Angreifer ausnutzen
fizierer wie beispielsweise usd (http://www.usd.de),
könnte, um Kreditkartendaten zu kompromittieren.
SRC (http://www.src-gmbh.de) oder Acertigo (http://
Die Systeme werden dabei über das Internet netz-
acertigo.com).
seitig mit Hilfe von Security Scannern untersucht.
Als nächster Schritt steht eine Einstufung des
Die eingesetzten Werkzeuge prüfen auf bekannte
Unternehmens und die Überprüfung der PCI-Com-
Schwächen von Netzwerkkomponenten, Betriebs-
pliance an. Hierzu stehen verschiedene Fragebögen
systemen und Applikationen. Der Scan erfolgt auto-
zur Verfügung, die sogenannten Self Assessment
matisch, der Kunde erhält einen Scanreport. Ist der
Questionnaires (SAQ). Wichtig ist hierbei zu beach-
Scan in Ordnung, wird seitens des Zertifizierers ein
ten, dass gemäß den Vorgaben jedes Jahr ein sol-
Zertifikat über die PCI-Compliance ausgestellt. Falls
cher Fragebogen ausgefüllt werden muss. Gefragt
nicht, muss der Kunde die Mängel beheben und ei-
wird hier nicht nur nach der Art der Verarbeitung
nen sogenannten Rescan durchführen lassen.
von Kartendaten, sondern auch nach allgemeinen
Security Audits werden nur bei Händlern des
Unternehmensinformationen, Verbindungen zu an-
Levels 1 (vgl. Infobox 2) zusätzlich zum Security Scan
deren Unternehmen und technischen Details, die
durchgeführt. Für diese Sicherheitsprüfung wird
sich auf die Umsetzung der zwölf PCI-Anforderun-
eine Ortsbegehung vorgenommen, die auch die Be-
gen (vgl. Infobox 3) beziehen. Die Daten werden dann
sichtigung der Serverräume, Mitarbeiter-Interviews
vom Zertifizierer ausgewertet und der Händler er-
u. Ä. mit einschließt.
hält die Information, ob weitere Schritte eingeleitet werden müssen.
Die Bewertung des Händlerstatus darf ausschließlich durch akkreditierte Partner (Approved Scanning Vendor – ASV bzw. Qualified Security Assessor – QSA) durchgeführt werden. Die Durch-
SAQ-Übersicht
führung der Scans obliegt ausschließlich den ASV, während die QSA für die Security Audits zustän-
Fragebogenart nach Händlertyp Card-not-present (E-Commerce / MOTO), alles outgesourct Imprint-Händler, keine elektronische Datenspeicherung Stand-alone Terminal, keine elektronische Datenspeicherung POS-System mit Internet-Anbindung, keine elektronische Datenspeicherung Alle anderen Händler und alle Service Provider
SAQ A B B C D
dig sind. Alle Zertifizierer müssen sich beim PCICouncil gesondert qualifizieren sowie Nachweise über regelmäßige Trainings erbringen. Eine aktuelle Liste der akkreditierten Partner kann bei den Kreditkartenorganisationen
auf
der
Homepage
oder unter folgendem Link abgerufen werden: https://www.pcisecuritystandards.org/pdfs/ asv_report.html. Wichtig: Lassen Sie Ihrem Acquirer immer Ihr neues Zertifikat zukommen, da er Ihre Compliance gegenüber den Kreditkartenorganisationen nachweisen muss!
Infobox 1: Self Assessment Questionnaires (SAQ)
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
5
PCI: Der richtige Umgang mit Kreditkartendaten
Händlerkategorien bei MasterCard und Visa Hinweise: Acquirer können ihren Händlern zusätzliche Pflichten auferlegen. Für Händler, die Karten von American Express akzeptieren, gelten andere Kategorien.
(siehe www.americanexpress.com)
Händlerkategorie
Self Assessment
Security Scan
Security Audit
—
4 x pro Jahr
1 x pro Jahr
1 x pro Jahr
4 x pro Jahr
1 x pro Jahr1
1 x pro Jahr
4 x pro Jahr
—
1 x pro Jahr2
4 x pro Jahr3
—
Level 1 > 6 Mio. Transaktionen p. a. mit MasterCard bzw. Visa über alle Vertriebskanäle (POS, E-Commerce, MOTO) Level 2 1 Mio. bis 6 Mio. Transaktionen p. a. mit MasterCard bzw. Visa über alle Vertriebskanäle (POS, E-Commerce, MOTO) Level 3 20.000 bis 1 Mio. E-CommerceTransaktionen p. a. mit MasterCard bzw. Visa Level 4 Alle anderen
1
ab 31.12.2010 Pflicht bei MasterCard
2
ab 01.10.2009 Pflicht bei Visa
3
verpflichtend nur für Händler mit SAQ C und D
Infobox 2: Händlerkategorien bei MasterCard und Visa
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
6
PCI: Der richtige Umgang mit Kreditkartendaten
Die zwölf Anforderungen von PCI
Der Standard versucht, möglichst alle Aspekte im Bereich Kartenzahlung mit einzubeziehen. Die Netzwerkarchitektur der Unternehmen wird daher genauso betrachtet wie der Umgang mit kritischem
Der PCI-Standard wurde durch den PCI Security
Datenmaterial seitens der Mitarbeiter.
Standards Council entwickelt. Bekannte Kreditkar-
In regelmäßigen Abständen werden die Vorga-
tenorganisationen und -herausgeber wie American
ben überarbeitet, um auf aktuelle Entwicklungen
Express, MasterCard, Visa oder JCB International
einzugehen und Erfahrungen der Händler mit einzu-
sind maßgeblich daran beteiligt, die Sicherheit von
beziehen. Die aktuelle Fassung 1.2 ist seit Oktober
Kartendaten auf globaler Ebene zu verbessern und
2008 gültig. Das Herzstück des PCI-Standards sind
so Händler und deren Kunden vor Zahlungsausfällen
die im Folgenden aufgeführten zwölf Anforderun-
und Betrügereien zu schützen.
gen:
Die PCI-Anforderungen im Überblick 1.
Einrichtung und Instandhaltung der Firewall-Konfiguration zum Schutz der Daten
2.
Keine Verwendung der vom Händler ausgelieferten und voreingestellten System-Passwörter bzw.
anderer Sicherheitsparameter
3.
Schutz der gespeicherten Daten
4.
Verschlüsselte Übertragung der Karteninhaberdaten und sensibler Informationen über öffentliche Netze
5.
Gebrauch und regelmäßige Aktualisierung der Anti-Viren-Programme
6.
Entwicklung und Aufrechterhaltung von sicheren Systemen und Anwendungen
7.
Beschränkung des Zugriffs auf die Daten nach dem need-to-know-Prinzip
8.
Zuweisung von eindeutigen Kennungen an alle Personen mit Computer-Zugriff
9.
Einschränkung des physischen Zugangs zu Karteninhaberdaten
10.
Verfolgung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen sowie Karteninhaberdaten
11.
Regelmäßige Prüfungen der Sicherheitssysteme und -prozesse
12.
Aufrechterhaltung von Informationssicherheitspolitik
Infobox 3: PCI-Anforderungen
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
7
PCI: Der richtige Umgang mit Kreditkartendaten
Welche Daten dürfen gespeichert werden und welche nicht?
Daten dürfen gespeichert werden, solange sie vor dem Zugriff Unbefugter geschützt sind. Hierzu ist eine Verschlüsselung oder eine Maskierung unerlässlich. Bei den heutigen technischen Möglichkeiten in
Grundsätzlich gilt es, zwischen zwei Datenarten
unserer zunehmend international agierenden Welt
zu unterscheiden. Die sogenannten vertraulichen
wird es immer wichtiger, sich gegen Datenkom-
Identifizierungsdaten (Sensitive Authentication Data)
promittierung abzusichern. Der PCI-Standard ist
dürfen nicht gespeichert werden. Es handelt sich
ein großer und wichtiger Schritt in diese Richtung.
hierbei um die Daten, mit denen Karteninhaber sich
Neben der eigenen Compliance sollte der Händler
identifizieren und Kartentransaktionen autorisieren,
darauf achten, dass auch seine PSP und Drittdienst-
wie zum Beispiel die Kartenprüfnummer oder die
leister den PCI-Standards genügen. Langfristig wird
Daten des Magnetstreifens.
damit das Vertrauen in den Online-Handel gestärkt,
Zu den Karteninhaberdaten (Card Holder Data) gehören der Name des Karteninhabers, die Karten-
womit sowohl dem Händler als auch dem Kunden gedient ist.
nummer oder das Ablaufdatum der Karte. Diese
Sicherheitsanforderungen bei der Datenspeicherung Datenart
Speicherung erlaubt?
Verschlüsselung vorgeschrieben?
Kartennummer
ja
ja
Gültigkeit
ja
nein
Service-Code
ja
nein
Name des Karteninhabers
ja
nein
Magnetstreifendaten
nein
Kartenprüfnummer
nein
PIN
nein
nicht notwendig, da Speicherung nicht erlaubt nicht notwendig, da Speicherung nicht erlaubt nicht notwendig, da Speicherung nicht erlaubt
Infobox 4: Sicherheitsanforderungen bei der Datenspeicherung
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
8
PCI: Der richtige Umgang mit Kreditkartendaten
Fragen und Antworten Welche Vorteile hat die Umsetzung der PCIVorgaben? Mit PCI haben es Betrüger schwerer, Kartendaten zu kompromittieren. Für die Kunden bedeutet dies erhöhte Datensicherheit und Vertrauen, was den Umsatz steigern kann und das Image des Unternehmens schützt und verbessert. Der Händler ist stärker abgesichert vor finanziellen Schäden und Schadenersatzforderungen. Datenminimierung und -vermeidung führen nicht nur zur Reduzierung des Unternehmensrisikos, sondern auch zu Kostenreduzierung.
Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS? Wird der PCI DSS nicht eingehalten, d. h. lassen sich die Händler nicht gemäß den PCI-Vorgaben zer-
Bin ich automatisch compliant, wenn ich eine Payment-Software nutze?
tifizieren und kommt es später zu einem Diebstahl
Nein, leider nicht. Es gibt eine ganze Reihe von
von Kartendaten aus dem System des Händlers,
Lösungen verschiedener Software-Hersteller bis hin
drohen schwerwiegende Konsequenzen. Betroffene
zur Open-Source-Software, die über das Internet
Unternehmen müssen damit rechnen, dass sie von
frei verfügbar ist. Diese Applikationen können Kar-
ihrem Acquirer für Strafzahlungen seitens der Kar-
tendaten speichern oder auch nur weiterleiten. Eine
tenorganisationen in Regress genommen werden.
Regelkonformität ist nur dann gegeben, wenn eine
Tritt bei einem Händler oder Dienstleister der Level
sogenannte PA-DSS-Software (Payment Application
2 bis 4 ein Datendiebstahl auf, wird er auf Level 1
Data Security Standard) wie z. B. die ConCardis Pay
hochgestuft. Eine Einordnung in diese Kategorie ist
Engine genutzt wird und alle involvierten Parteien
mit höheren Kosten verbunden, da umfassendere
(PSP, Drittdienstleister) PCI-compliant sind oder
Compliance-Prüfungen erforderlich werden. Zu-
nicht mit den Kartendaten in Berührung kommen.
sätzlich kann ein bekannt gewordener Datendieb-
Unabhängig jedoch von der verwendeten Software
stahl das Ansehen eines Unternehmens nachhaltig
muss der Händler immer den Self-Assessment-
schädigen und ein Verlust von Kundenvertrauen zur
Fragebogen (SAQ) ausfüllen und ggf. einen Scan
Folge haben – mit entsprechendem Geschäftsver-
durchführen lassen.
lust. Welche Verpflichtungen bestehen für die Acquirer oder Händlerbanken?
Was ist die Safe-Harbour-Lösung? Die Safe-Harbour-Lösung wurde seitens Mas-
Die Acquirer oder Händlerbanken haben die
terCard und Visa ins Leben gerufen. Wenn ein Händ-
PCI-Vorgaben ebenfalls einzuhalten. Darüber hinaus
ler PCI-zertifiziert bzw. PCI DSS-compliant (je nach
müssen sie die Einhaltung der Regeln für ihre Händ-
Level-Einstufung) ist und dennoch Opfer einer Da-
ler und ggf. kooperierenden Dienstleister, die für sie
tenkomprimittierung wird, können die Strafgebüh-
Daten speichern und / oder verarbeiten, sicherstel-
ren reduziert oder ganz erlassen werden.
len und in regelmäßigen Abständen nachweisen.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
9
PCI: Der richtige Umgang mit Kreditkartendaten
Mit welchem Zeitaufwand ist die Umsetzung des PCI-Standards verbunden? Es gibt keine pauschalen Richtwerte für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS, da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung unterschiedlich verläuft.
Bezieht sich PCI nur auf die elektronische Speicherung und Weiterleitung von Daten oder sind auch Papier, Brief und Fax mit eingeschlossen? Unabhängig vom Medium sind Kartendaten immer der Gefahr von Diebstahl ausgesetzt. Daher müssen sowohl Computer, E-Mails oder auch ausgedruckte Unterlagen vor unbefugtem Zugriff geschützt werden. Die Kartennummer ist möglichst zu anonymisieren (d. h. „auszuixen“), zu verschlüsseln und sicher zu verwahren (Tresor). Im Falle eines Transports sind sie per Kurier zu versenden, da hier eine Rückverfolgung möglich ist. Nicht mehr benötigte Daten müssen sorgfältig vernichtet werden (z. B. Partikelschnitt bei Aktenvernichter).
Weiterführende Informationen http://www.ecommerce-leitfaden.de/kreditkarte http://www.pcisecuritystandards.org http://www.visaeurope.com/aboutvisa/security/ais/resourcesanddownloads.jsp http://www.mastercard.com/us/sdp/index.html http://www.concardis.com/de/kartenzahlung/kundenservice/sicherheit/ sicherheit-im-e-commerce/pcisdpais.html http://www.payengine.de
Infobox 5: Weiterführende Informationen
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
10
PCI: Der richtige Umgang mit Kreditkartendaten
Glossar Acquirer Ein Acquirer ist die kreditkartenbetreuende Stelle des Händlers. Er wickelt für den Händler die Autorisierung und Abrechnung bei Kreditkartenzahlungen ab. Des Weiteren akquiriert er Akzeptanzstellen für Kreditkartenzahlungen (z. B. aus Handel, Hotellerie, Gastronomie, Autovermietung, Fluggesellschaften). Um tätig zu werden, benötigt ein Acquirer von der entsprechenden Kartenorganisation eine Lizenz.
Approved Scanning Vendor (ASV) Ein ASV führt Security Scans durch, um mögliche Schwachstellen im System eines Händlers aufzudecken. Die Untersuchung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt die Durchführung der Security Scans ausschließlich den ASV.
Compliance Als Compliance bezeichnet man das Befolgen von Gesetzen, Richtlinien und Vorgaben.
Debitkarte Zahlungskarte, die einen Verfügungsrahmen aufweist und mit der ein Karteninhaber Waren oder Dienstleistungen an einer elektronischen Kasse bezahlen kann. Bei Zahlung mit einer Debitkarte wird das Konto des Kunden in der Regel bereits nach einigen Werktagen direkt mit dem Zahlungsbetrag belastet.
Imprinter Ein Umdrucker (ugs. „Ritsch-Ratsch-Gerät“) wird dazu verwendet, die auf einer Karte hochgeprägten Daten auf ein Abrechnungsformular zu übertragen.
Kartenprüfnummer Die Kartenprüfnummer ist als zusätzliches Sicherheitsmerkmal auf der Kreditkarte aufgedruckt und muss häufig bei Transaktionen, bei denen der Karteninhaber nicht physisch anwesend ist (Bestellungen per Fax, Telefon oder Internet), neben der eigentlichen Kreditkartennummer angegeben werden. Somit soll sichergestellt werden, dass eine Kreditkartenzahlung nur vom tatsächlichen Besitzer der Karte initiiert werden kann.
Kompromittierung Kompromittierung im technischen Sinn bezeichnet die Manipulation, den Diebstahl oder den Verlust der Verfügungsgewalt von Daten bzw. Systemen zur missbräuchlichen Nutzung durch Angreifer.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
11
PCI: Der richtige Umgang mit Kreditkartendaten
Karteninhaberdaten (Card Holder Data) Zu den Karteninhaberdaten gehören der Name des Karteninhabers, die Kartennummer oder das Ablaufdatum der Karte.
Kreditkarte Kreditkarten dienen der bargeldlosen Bezahlung von Waren und Dienstleistungen bei Vertragsunternehmen der kartenherausgebenden Organisationen. Eine Kreditkarte weist einen mit dem Kartenherausgeber vereinbarten Verfügungsrahmen auf. Im Unterschied zu einer Debitkarte erfolgt die Bezahlung für den Karteninhaber in der Regel zeitlich verzögert (zu einem festgelegten Zeitpunkt) für alle zwischen zwei Abrechnungszyklen aufgelaufenen Beträge. Im Internet sind Kreditkartenzahlungen grundsätzlich allein durch Übermittlung der Kreditkartennummer möglich. Allerdings setzt sich das akzeptierende Unternehmen dabei Betrugsrisiken aus, die durch zusätzliche Maßnahmen verringert werden können.
MOTO MOTO (Mail Order / Telephone Order) bezeichnet einen Teilbereich des Fernabsatzes, bei dem der Vertragsabschluss über Leistungen (Kauf- oder Dienstverträge) zwischen den beteiligten Parteien über Post, Fax, E-Mail oder Telefon erfolgt.
Payment Service Provider Ein Payment Service Provider (PSP) ist ein Unternehmen, das bei Kreditkartenzahlungen die technische Anbindung des Händlers an den Acquirer realisiert und die einzelnen Transaktionen verarbeitet. Zunehmend bieten PSP auch weitere, umfangreiche Zahlungsdienstleistungen an, wie etwa die Anbindung von bestehenden Online-Shops zur elektronischen Abwicklung unterschiedlicher Zahlungstransaktionen, Authentifizierung von Verbrauchern, Konto- bzw. Bonitätsüberprüfungen oder Abrechnungen.
PCI Um Kreditkartendaten vor Missbrauch zu schützen, haben die Kreditkartenorganisationen einen gemeinsamen Standard, den Payment Card Industry (PCI) Data Security Standard (PCI DSS), geschaffen. Dieses Regelwerk im Zahlungsverkehr besteht aus einer Liste von Anforderungen an die Rechnernetze für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten (z. B. Händler, Acquirer oder sonstige Dienstleister).
PCI-Council Das PCI-Council ist ein Rat (Gremium), der das Ziel hat, die umfassende Einhaltung der PCI-Sicherheitsrichtlinien zu fördern, um damit alle Beteiligten der Zahlungskette beim Schutz der Kreditkartendaten zu unterstützen.
PIN (persönliche Identifikationsnummer) Eine PIN (auch Geheimzahl) ist eine Zahl, von der in der Regel nur eine Person Kenntnis hat. Mit der PIN kann sich diese Person gegenüber einer Maschine oder einem System authentifizieren.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
12
PCI: Der richtige Umgang mit Kreditkartendaten
Point of Sale (POS) Der Ort, an dem die Kauf- bzw. Verkaufstransaktion abgewickelt wird, z. B. die Ladenkasse in einem Kaufhaus.
Qualified Security Assessor (QSA) Ein QSA führt Security Audits durch, um einen Händler beim Umgang mit Kreditkartendaten zu bewerten. Die Bewertung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt die Durchführung der Security Audits ausschließlich den QSA.
Safe-Harbour-Lösung Die Safe-Harbour-Lösung im PCI-Standard wurde seitens MasterCard und Visa ins Leben gerufen. Wenn ein Händler PCI-zertifiziert bzw. PCI DSS-compliant (je nach Level-Einstufung) ist und dennoch Opfer einer Datenkomprimittierung wird, können die Strafgebühren reduziert oder ganz erlassen werden.
Service-Code Der Service-Code ist ein dreistelliger Zahlencode, der auf dem Magnetstreifen als auch im Chip der Karte gespeichert ist und dazu dient, dem Terminal die Eigenschaften der Karte anzuzeigen (z. B. international einsetzbare Chipkarte, Autorisierung nur online möglich).
Security Audits Ein Security Audit ist eine Sicherheitsprüfung, bei der eine Ortsbegehung beim Händler vorgenommen wird, die auch die Besichtigung der Serverräume, Mitarbeiter-Interviews u. Ä. mit einschließt.
Security Scans Security Scans haben das Ziel, Schwachstellen in Architektur und Konfiguration von Systemen aufzudecken. Die Systeme werden dabei über das Internet netzseitig mit Hilfe von Security Scannern auf mögliche Schwächen hin untersucht. Ist der Scan in Ordnung, wird seitens des Zertifizierers ein Zertifikat ausgestellt. Falls nicht, muss der Kunde die Mängel beheben und einen sogenannten Rescan durchführen lassen.
Self Assessment Questionnaires (SAQ) Self Assessment Questionnaires (SAQ) sind verschiedene Fragebögen, mit deren Hilfe ein Händler in eine bestimmte Händlerkategorie eingestuft wird, um die geforderten Maßnahmen zu PCI-Zertifizierung zu bestimmen. Der Fragebogen wird jährlich aktualisiert. Gefragt wird hier nicht nur nach der Art der Verarbeitung von Kartendaten, sondern auch nach allgemeinen Unternehmensinformationen, Verbindungen zu anderen Unternehmen und technischen Details, die sich auf die Umsetzung der zwölf PCI-Anforderungen beziehen.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
13
PCI: Der richtige Umgang mit Kreditkartendaten
Terminal Gerät, in der Regel mit Tastatur und Display, das die elektrische Versorgung und den Datenaustausch im bargeldlosen Zahlungsverkehr ermöglicht.
Vertrauliche Identifizierungsdaten (Sensitive Authentication Data) Vertrauliche Identifizierungsdaten sind Daten, mit denen Karteninhaber sich identifizieren und Kartentransaktionen autorisieren (z. B. die Kartenprüfnummer oder die Daten des Magnetstreifens). Diese dürfen nicht gespeichert werden.
Zertifizierung Bei einer Zertifizierung prüft ein Zertifizierer die Einhaltung bestimmter Anforderungen zu einem bestimmten Zeitpunkt und bescheinigt dies in der Regel mit der Ausstellung eines Zertifikats.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
14
PCI: Der richtige Umgang mit Kreditkartendaten
Über das E-Commerce-Special Das E-Commerce-Special ist eine Informationsreihe, die über spezielle Themen zum Online-Handel berichtet. Die Inhalte werden von ibi research zusammen mit Experten aus der Praxis kostenlos zur Verfügung gestellt. Damit werden die Themenschwerpunkte des E-Commerce-Leitfadens vertieft.
Der E-Commerce-Leitfaden Der Verkauf von Waren und Dienstleistungen über das Internet stellt eine zunehmend wichtiger werdende Einnahmequelle für deutsche Unternehmen dar. In der Praxis zeigt sich jedoch, dass Unternehmen häufig mit massiven Problemen zu kämpfen haben. Viele Unternehmen lassen sich dadurch von einem Engagement im Internet abschrecken oder stellen ihre Aktivitäten entmutigt wieder ein. Genau hier setzt der E-Commerce-Leitfaden an. Er gibt kompakt und aus einem Guss Antworten auf die wichtigsten Fragen rund um den elektronischen Handel.
Der Leitfaden behandelt folgende Themenschwerpunkte: Einstieg in den E-Commerce Erfolgskontrolle der Online-Aktivitäten Auswahl geeigneter Zahlungsverfahren Schutz vor Zahlungsstörungen Versand und Bestellabwicklung Erschließung ausländischer Märkte Verdeutlicht werden die Inhalte durch ExpertenInterviews, Fallbeispiele, Checklisten, Infoboxen, Grafiken und Tabellen sowie ein umfangreiches Glossar.
Begleitende Website mit weiteren Angeboten: www.ecommerce-leitfaden.de E-Commerce-Newsletter Studien und Beiträge zu aktuellen Themen Anbieterverzeichnis Rechen-Tools Veranstaltungshinweise E-Commerce-Trends
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
15
PCI: Der richtige Umgang mit Kreditkartendaten
Partner des E-Commerce-Leitfadens Das Projekt E-Commerce-Leitfaden wird von den folgenden namhaften LĂśsungsanbietern aus dem E-Commerce-Bereich unterstĂźtzt.
Praxisbeispiele Infoboxen und Checklisten Umfrageergebnisse
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
16
PCI: Der richtige Umgang mit Kreditkartendaten
Atrada Atrada bietet Handel und Herstellern hochskalierbare eCommerce Lösungen und übernimmt dabei Verantwortung über die gesamte Wertschöpfungskette hinweg. Weitere Informationen: www.atrada.net
atriga atriga ist ein innovatives Inkassounternehmen und bietet ein umfassendes Leistungs- und Informationsangebot für innovatives Forderungsmanagement. Weitere Informationen: www.atriga.de
cateno cateno entwickelt und vertreibt die Software-Lösungen ShopSync und AuctionSync zur Automatisierung von warenwirtschaftlichen Prozessen. Weitere Informationen: www.cateno.de
ConCardis ConCardis ist ein führender Anbieter im Bereich des bargeldosen Zahlungsverkehrs und bietet die gesamte Servicepalette für das Präsenz- und Fernabsatzgeschäft. Weitere Informationen: www.concardis.com
creditPass creditPass ermöglicht über nur eine Schnittstelle den direkten Zugriff auf alle renommierten Auskunfteien und Auskunftsarten inklusive Abfrage- und Entscheidungslogiken. Weitere Informationen: www.creditpass.de
etracker etracker ist mit mehr als 65.000 Kunden ein führender Anbieter von Produkten und Dienstleistungen zur Optimierung von Websites und Online-Marketing-Kampagnen. Weitere Informationen: www.etracker.com
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
17
PCI: Der richtige Umgang mit Kreditkartendaten
EURO-PRO Ges. für Data Processing mbH EURO-PRO gehört heute zu den marktführenden Unternehmen im Bereich von Ermittlungs- und Informationsdienstleistungen in Deutschland. Weitere Informationen: www.europro.de, www.europro-bonitaet.de
Hermes Logistik Gruppe Deutschland Als Deutschlands größter postunabhängiger Consumer-Logistiker transportiert die Hermes Logistik Gruppe alles vom Brief über das Paket bis hin zu Möbeln. Weitere Informationen: www.hlg.de
ibi research an der Universität Regensburg ibi research an der Universität Regensburg forscht und berät zu Fragestellungen rund um das Thema „Finanzdienstleistungen in der Informationsgesellschaft“. Weitere Informationen: www.ibi.de, www.ecommerce-ostbayern.de
mpass mpass ist das komfortable und sichere Internet-Bezahlsystem der deutschen Telekommunikationsunternehmen Vodafone und Telefónica O2. Weitere Informationen: www.mpass.de
Saferpay Saferpay ist die umfassende E-Payment-Lösung, die speziell für den E-Commerce und Phone-Mailorder-Handel entwickelt wurde.
Saferpay
TM
Weitere Informationen: www.saferpay.com
xt:Commerce xt:Commerce ist eine der führenden Open-Source-eCommerce-Lösungen und bietet kostengünstig Software-Lösungen für das eBusiness an. Weitere Informationen: www.xt-commerce.com
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
18
PCI: Der richtige Umgang mit Kreditkartendaten
Impressum E-Commerce-Special PCI: Der erfolgreiche Umgang mit Kreditkartendaten Marion Musch, Christoph Jung und Steffen Zückler, ConCardis GmbH, Solmsstraße 4, 60486 Frankfurt am Main
ISBN 978-3-940416-14-8 ISSN 1869-1471
Herausgeber: Thomas Krabichler, Dr. Ernst Stahl, Silke Weisheit, Georg Wittmann
Kontakt: E-Commerce-Leitfaden c/o ibi research an der Universität Regensburg GmbH Regerstraße 4 93053 Regensburg Telefon: 0941 943-1901 Telefax: 0941 943-1888 E-Mail: team@ecommerce-leitfaden.de Web: www.ecommerce-leitfaden.de und www.ibi.de
Alle Rechte vorbehalten
© August 2009 ibi research an der Universität Regensburg GmbH, Regerstraße 4, 93053 Regensburg © Fotos: Shutterstock, istockphoto.com und ibi research
Das vorliegende Werk einschließlich aller Teile ist urheberrechtlich geschützt und Eigentum der ibi research an der Universität Regensburg GmbH. Verwertungen sind nur unter Angabe der vollständigen Quelle „E-CommerceSpecial Nr. 1 – PCI (www.ecommerce-leitfaden.de)“ zulässig. Das gilt insbesondere auch für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Bitte beachten Sie auch die rechtlichen Hinweise im Haftungsausschluss.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
19
PCI: Der richtige Umgang mit Kreditkartendaten
Haftungsausschluss ibi research und ConCardis haben sich bemüht, richtige und vollständige Informationen zur Verfügung zu stellen. Alle Angaben wurden nach bestem Wissen und mit größtmöglicher Sorgfalt erstellt und überprüft. Dennoch übernehmen ibi research und ConCardis keine Garantie oder Haftung für die Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen, Texte, Interviews, Checklisten, Übersichten, Grafiken, Links und sonstige in diesem Werk enthaltene Elemente. Durch die Rundung einiger Umfragewerte kommt es vereinzelt zu von 100 % abweichenden Gesamtsummen. Interviews und Kommentare Dritter spiegeln deren Meinung wider und entsprechen nicht zwingend der Meinung von ibi research und ConCardis. Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit, Wahrheitsgehalt und Vollständigkeit der Ansichten Dritter können seitens ibi research und ConCardis nicht zugesichert werden. Das Werk wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts. Die Informationen Dritter, auf die Sie möglicherweise über die in diesem Werk enthaltenen Internet-Links und sonstigen Quellenangaben zugreifen, unterliegen nicht dem Einfluss von ibi research und ConCardis. ibi research und ConCardis unterstützen nicht die Nutzung von Internet-Seiten Dritter und Quellen Dritter und gibt keinerlei Gewährleistungen oder Zusagen über Internet-Seiten Dritter oder Quellen Dritter ab. Haftungsansprüche gegen ibi research und ConCardis, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. Dies gilt u. a. und uneingeschränkt für konkrete, besondere und mittelbare Schäden oder Folgeschäden, die aus der Nutzung dieser Materialien entstehen können, sofern seitens ibi research und ConCardis kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Die in diesem Werk enthaltenen Texte zu rechtlichen und rechtsverwandten Themen dienen ausschließlich der allgemeinen, grundsätzlichen Information und Weiterbildung. Sie stellen insbesondere keine Beratung im Falle eines individuellen rechtlichen Anliegens dar. Die Autoren haben versucht, richtige und aktuelle Informationen aufzubereiten. ibi research und ConCardis übernehmen keine Garantie oder Haftung für die Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit und Vollständigkeit dieser Informationen. Das Werk kann und will insbesondere keine Rechtsberatung ersetzen. ibi research und ConCardis empfehlen deshalb grundsätzlich bei Fragen zu Rechts- und Steuerthemen und rechtsverwandten Aspekten, sich an einen Anwalt oder an eine andere qualifizierte Beratungsstelle zu wenden. Die Wiedergabe von Gebrauchsnamen, Warenbezeichnungen, Handelsnamen und dergleichen in diesem Werk enthaltenen Namen berechtigt nicht zu der Annahme, dass solche Namen und Marken im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann genutzt werden dürften. Vielmehr handelt es sich häufig um gesetzlich geschützte, eingetragene Warenzeichen, auch wenn sie nicht als solche gekennzeichnet sind. Alle zitierten Marken-, Produkt- und Firmennamen sind das Alleineigentum der jeweiligen Besitzer.
eCommerce S p e c i a l
www.ecommerce-leitfaden.de
20
Infoanforderung E-Commerce-Leitfaden ibi research an der Universität Regensburg Regerstraße 4 93053 Regensburg
FAX AN: 0941 / 94 31 888 E-Commerce-Newsletter Bitte senden Sie mir regelmäßig den E-Commerce-Newsletter (14-tägig, kostenlos).
E-Commerce-Leitfaden als Buch Bitte senden Sie mir den E-Commerce-Leitfaden als hochwertig gedrucktes Buch zum Preis von 59,90 Euro (inkl. gesetzl. MwSt., versandkostenfrei, Hardcover, Farbdruck, A4-Format).
Informationen über die Partner des E-Commerce-Leitfadens Bitte senden Sie mir kostenlos und unverbindlich weitere Informationen über: Atrada
EURO-PRO
atriga
Hermes Logistik Gruppe
cateno
ibi research an der Universität Regensburg
ConCardis
mpass
creditPass
Saferpay
etracker
xt:Commerce
Absender:
Firma:
Abteilung:
Name:
Telefon:
Straße:
Fax:
PLZ, Ort:
Web:
E-Mail: