PCI Special
-
Upload
aylin-farivar -
Category
Documents
-
view
225 -
download
4
description
Transcript of PCI Special
PCI: Der richtige Umgang mit Kreditkartendaten
www.ecommerce-leitfaden.de
E-COMMERCE-LEITFADEN
E-Commerce-Special Nr. 1 | ISBN: 978-3-940416-14-8 ISSN: 1869-1471
eCommerceS p e c i a l
E-COMMERCE-SPECIALPRAXISWISSEN FÜR ONLINE-HÄNDLER
PCI: Der richtige Umgang mit Kreditkartendaten
www.ecommerce-leitfaden.de 2
Über ConCardisDie ConCardis GmbH in Frankfurt am Main ist eines der führenden Serviceunternehmen im Bereich des bar-
geldlosen Zahlungsverkehrs. Als Gemeinschaftsunternehmen der deutschen Kreditwirtschaft erbringt ConCardis
für circa 400.000 Akzeptanzstellen Serviceleistungen rund um das kartengestützte Bezahlen. Unternehmen, die
Kredit- oder Debitkarten akzeptieren möchten, erhalten ein komplettes Lösungsangebot: vom Akzeptanzvertrag
oder Terminal für das Präsenzgeschäft bis hin zu besonderen Dienstleistungen zur Optimierung der mit der Kar-
tentransaktion verbundenen Abläufe. Darüber hinaus stellt ConCardis selbstverständlich auch eine große Aus-
wahl an Bezahlverfahren für den E-Commerce und den Versandhandel zur Verfügung. Das Thema „Sicherheit im
bargeldlosen Zahlungsverkehr” hat für ConCardis eine hohe Priorität – sowohl im Präsenzgeschäft als auch im
Bereich Fernabsatz. Nicht zuletzt aus diesem Grund nimmt das Unternehmen im Bereich der Sicherheitstech-
nologie eine Vorreiterrolle ein. Um der steigenden Nachfrage nach sicheren E-Commerce-Produkten gerecht zu
werden, bietet ConCardis für interessierte Händler aus dem Bereich E-Commerce und Versandhandel eine eigene
Payment-Software, die ConCardis PayEngine, an. In Kürze wird die ConCardis PCI-Plattform online gehen, auf der
Händler umfassende Informationen über die einzuhaltenden Auskunfts- und Dokumentationsprozesse finden und
sich gemäß den Vorgaben der Kartenorganisationen zertifizieren lassen können. Zusätzlich stehen kompetente
Ansprechpartner telefonisch und per Mail bei Fragen zur Verfügung. ConCardis Kunden können sich kostenfrei
registrieren.
Weitere Informationen: www.concardis.com �
Dieses E-Commerce-Special wird Ihnen zur Verfügung gestellt von
eCommerceS p e c i a l
PCI: Der richtige Umgang mit Kreditkartendaten
www.ecommerce-leitfaden.de 3
Inhalt
1. Einleitung ................................................................................................................................................................4
2. Erste Schritte zur Compliance ...............................................................................................................................5
3. Wie funktioniert die Zertifizierung?........................................................................................................................5
4. Die zwölf Anforderungen von PCI ...........................................................................................................................7
5. Welche Daten dürfen gespeichert werden und welche nicht? ...............................................................................8
6. Fragen und Antworten ............................................................................................................................................9
Glossar ...................................................................................................................................................................... 11
Über das E-Commerce-Special ................................................................................................................................ 15
Der E-Commerce-Leitfaden ..................................................................................................................................... 15
Partner des E-Commerce-Leitfadens ...................................................................................................................... 16
Impressum ................................................................................................................................................................ 19
Haftungsausschluss .................................................................................................................................................. 20
Infoanforderung ........................................................................................................................................................ 21
Abkürzungen
ASV Approved Scanning Vendor
B2C Business-to-Consumer
C2C Consumer-to-Consumer
MOTO Mail Order / Telephone Order
PA-DSS Payment Application Data Security Standard
PCI (DSS) Payment Card Industry (Data Security Standards)
PIN Persönliche Identifikationsnummer
POS Point of Sale
PSP Payment Service Provider
QSA Qualified Security Assessor
ROI Return on Investment
SAQ Self Assessment Questionnaire
eCommerceS p e c i a l
www.ecommerce-leitfaden.de 4
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Einleitung
Der Missbrauch von gestohlenen Kreditkar-
tendaten ist ein Thema, welches in regelmäßigen
Abständen durch die Presse geht. Auch im Online-
Handel kommen solche Betrügereien immer wieder
vor, was zur Verunsicherung der Kunden und zu fi-
nanziellen Verlusten der Händler führt.
Um das Vertrauen der Verbraucher in die Be-
zahlform Kreditkarte zu stärken und um den Händler
zu schützen, haben die Kreditkartenorganisationen
gemeinsame Sicherheitsstandards beim Umgang
mit Karten- und Transaktionsdaten geschaffen. Die
Payment Card Industry Data Security Standards, kurz
PCI genannt, umfassen eine Reihe von verbindlichen
Regeln für alle Parteien, die Kartendaten verarbei-
ten, speichern oder weiterleiten. Händler sind hier
genauso mit eingeschlossen wie Acquirer, Payment
Service Provider (PSP) oder Drittdienstleister.
Leider werden diese Regeln nicht immer mit
Begeisterung aufgenommen. Gerade große Unter-
nehmen mit komplexen Kassensystemen beklagen
den hohen technischen Aufwand und die Implemen-
tierungskosten, die mit einer PCI-konformen Aus-
richtung ihrer EDV-Systeme verbunden sind. Eine
Missachtung der PCI-Vorgaben kann bei Datenkom-
promittierung jedoch zu hohen Strafen der Karten-
organisationen führen, ganz zu schweigen von einer
massiven Image-Schädigung.
Der Vorwurf, dass PCI nicht anwenderfreundlich
sei, kann auch aus dem Grund nicht gehalten wer-
den, weil mittlerweile rund 500 Institutionen Mitglied
im Beratergremium der Regelgeber sind. Die Mit-
gliedschaft steht jedem offen und wird bisher unter
anderem von Hotelketten, Fluggesellschaften oder
Software-Unternehmen wahrgenommen. Zusätzlich
sind alle kartenakzeptierenden Unternehmen ein-
geladen, Verbesserungsvorschläge zu unterbreiten.
Viele unternehmensseitige Anregungen wurden be-
reits in den Standard eingearbeitet. So stammt auch
der Vorschlag der Einführung eines Gütesiegels aus
dem großen Kreis der kartenakzeptierenden Händ-
ler. Diese Möglichkeit wird zurzeit noch vom Gremi-
um diskutiert und würde einen weiteren Schritt bei
der Schaffung von Kundenvertrauen bedeuten.
Dabei sind die ersten Schritte in Richtung Si-
cherheit gar nicht so schwer. Die Installation einer
Firewall auf dem Computer oder der Gebrauch ei-
ner auf dem aktuellen Stand gehaltenen Anti-Virus-
Software sollten eigentlich eine Selbstverständlich-
keit sein, sowohl bei der geschäftlichen als auch der
privaten PC-Nutzung. Tipps zur Überprüfung von
Kartendaten und zum Fernabsatz im Allgemeinen
finden sich nicht nur im E-Commerce-Leitfaden,
sondern auch an zahlreichen Stellen im Internet.
Auch sind die mit dem Thema PCI vertrauten Zertifi-
zierer immer gerne zur Auskunft bereit.
www.ecommerce-leitfaden.de 5
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Wie funktioniert die Zertifizierung?
Zur PCI-Zertifizierung werden bei Händlern
aller Kategorien sogenannte Security Scans durch-
geführt, welche das Ziel haben, Schwachstellen in
Architektur und Konfiguration der untersuchten
Systeme aufzudecken, die ein Angreifer ausnutzen
könnte, um Kreditkartendaten zu kompromittieren.
Die Systeme werden dabei über das Internet netz-
seitig mit Hilfe von Security Scannern untersucht.
Die eingesetzten Werkzeuge prüfen auf bekannte
Schwächen von Netzwerkkomponenten, Betriebs-
systemen und Applikationen. Der Scan erfolgt auto-
matisch, der Kunde erhält einen Scanreport. Ist der
Scan in Ordnung, wird seitens des Zertifizierers ein
Zertifikat über die PCI-Compliance ausgestellt. Falls
nicht, muss der Kunde die Mängel beheben und ei-
nen sogenannten Rescan durchführen lassen.
Security Audits werden nur bei Händlern des
Levels 1 (vgl. Infobox 2) zusätzlich zum Security Scan
durchgeführt. Für diese Sicherheitsprüfung wird
eine Ortsbegehung vorgenommen, die auch die Be-
sichtigung der Serverräume, Mitarbeiter-Interviews
u. Ä. mit einschließt.
Die Bewertung des Händlerstatus darf aus-
schließlich durch akkreditierte Partner (Approved
Scanning Vendor – ASV bzw. Qualified Security As-
sessor – QSA) durchgeführt werden. Die Durch-
führung der Scans obliegt ausschließlich den ASV,
während die QSA für die Security Audits zustän-
dig sind. Alle Zertifizierer müssen sich beim PCI-
Council gesondert qualifizieren sowie Nachweise
über regelmäßige Trainings erbringen. Eine aktu-
elle Liste der akkreditierten Partner kann bei den
Kreditkartenorganisationen auf der Homepage
oder unter folgendem Link abgerufen werden:
https://www.pcisecuritystandards.org/pdfs/
asv_report.html.
Wichtig: Lassen Sie Ihrem Acquirer immer Ihr
neues Zertifikat zukommen, da er Ihre Compliance
gegenüber den Kreditkartenorganisationen nach-
weisen muss!
Erste Schritte zur Compliance
Grundsätzlich ist jedes Unternehmen, welches
Kartendaten speichert, verarbeitet oder übermittelt,
dazu verpflichtet, PCI-compliant zu sein, das heißt
für die Sicherheit der Kartendaten zu sorgen. Der
erste Schritt ist die Registrierung bei einem Zerti-
fizierer wie beispielsweise usd (http://www.usd.de),
SRC (http://www.src-gmbh.de) oder Acertigo (http://
acertigo.com).
Als nächster Schritt steht eine Einstufung des
Unternehmens und die Überprüfung der PCI-Com-
pliance an. Hierzu stehen verschiedene Fragebögen
zur Verfügung, die sogenannten Self Assessment
Questionnaires (SAQ). Wichtig ist hierbei zu beach-
ten, dass gemäß den Vorgaben jedes Jahr ein sol-
cher Fragebogen ausgefüllt werden muss. Gefragt
wird hier nicht nur nach der Art der Verarbeitung
von Kartendaten, sondern auch nach allgemeinen
Unternehmensinformationen, Verbindungen zu an-
deren Unternehmen und technischen Details, die
sich auf die Umsetzung der zwölf PCI-Anforderun-
gen (vgl. Infobox 3) beziehen. Die Daten werden dann
vom Zertifizierer ausgewertet und der Händler er-
hält die Information, ob weitere Schritte eingeleitet
werden müssen.
SAQ-Übersicht
Fragebogenart nach Händlertyp SAQ
Card-not-present (E-Commerce /
MOTO), alles outgesourctA
Imprint-Händler, keine elektronische
DatenspeicherungB
Stand-alone Terminal, keine
elektronische DatenspeicherungB
POS-System mit Internet-Anbindung,
keine elektronische DatenspeicherungC
Alle anderen Händler und alle Service
ProviderD
Self Assessment Questionnaires (SAQ)Infobox 1:
www.ecommerce-leitfaden.de 6
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Händlerkategorie Self Assessment Security Scan Security Audit
Level 1
> 6 Mio. Transaktionen p. a. mit
MasterCard bzw. Visa über alle
Vertriebskanäle
(POS, E-Commerce, MOTO)
— 4 x pro Jahr 1 x pro Jahr
Level 2
1 Mio. bis 6 Mio. Transaktionen p. a.
mit MasterCard bzw. Visa über alle
Vertriebskanäle
(POS, E-Commerce, MOTO)
1 x pro Jahr 4 x pro Jahr 1 x pro Jahr1
Level 3
20.000 bis 1 Mio. E-Commerce-
Transaktionen p. a. mit MasterCard bzw.
Visa
1 x pro Jahr 4 x pro Jahr —
Level 4
Alle anderen 1 x pro Jahr2 4 x pro Jahr3 —
Händlerkategorien bei MasterCard und Visa
Hinweise:
Acquirer können ihren Händlern zusätzliche Pflichten auferlegen. �
Für Händler, die Karten von American Express akzeptieren, gelten andere Kategorien. �
(siehe www.americanexpress.com)
1 ab 31.12.2010 Pflicht bei MasterCard 2 ab 01.10.2009 Pflicht bei Visa 3 verpflichtend nur für Händler mit SAQ C und D
Infobox 2: Händlerkategorien bei MasterCard und Visa
www.ecommerce-leitfaden.de 7
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Der Standard versucht, möglichst alle Aspekte
im Bereich Kartenzahlung mit einzubeziehen. Die
Netzwerkarchitektur der Unternehmen wird daher
genauso betrachtet wie der Umgang mit kritischem
Datenmaterial seitens der Mitarbeiter.
In regelmäßigen Abständen werden die Vorga-
ben überarbeitet, um auf aktuelle Entwicklungen
einzugehen und Erfahrungen der Händler mit einzu-
beziehen. Die aktuelle Fassung 1.2 ist seit Oktober
2008 gültig. Das Herzstück des PCI-Standards sind
die im Folgenden aufgeführten zwölf Anforderun-
gen:
Die zwölf Anforderungen von PCI
Der PCI-Standard wurde durch den PCI Security
Standards Council entwickelt. Bekannte Kreditkar-
tenorganisationen und -herausgeber wie American
Express, MasterCard, Visa oder JCB International
sind maßgeblich daran beteiligt, die Sicherheit von
Kartendaten auf globaler Ebene zu verbessern und
so Händler und deren Kunden vor Zahlungsausfällen
und Betrügereien zu schützen.
Die PCI-Anforderungen im Überblick
Einrichtung und Instandhaltung der Firewall-Konfiguration zum Schutz der Daten1.
Keine Verwendung der vom Händler ausgelieferten und voreingestellten System-Passwörter bzw. 2.
anderer Sicherheitsparameter
Schutz der gespeicherten Daten3.
Verschlüsselte Übertragung der Karteninhaberdaten und sensibler Informationen über öffentliche Netze4.
Gebrauch und regelmäßige Aktualisierung der Anti-Viren-Programme5.
Entwicklung und Aufrechterhaltung von sicheren Systemen und Anwendungen 6.
Beschränkung des Zugriffs auf die Daten nach dem need-to-know-Prinzip7.
Zuweisung von eindeutigen Kennungen an alle Personen mit Computer-Zugriff8.
Einschränkung des physischen Zugangs zu Karteninhaberdaten9.
Verfolgung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen sowie Karteninhaberdaten10.
Regelmäßige Prüfungen der Sicherheitssysteme und -prozesse11.
Aufrechterhaltung von Informationssicherheitspolitik 12.
Infobox 3: PCI-Anforderungen
www.ecommerce-leitfaden.de 8
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Daten dürfen gespeichert werden, solange sie vor
dem Zugriff Unbefugter geschützt sind. Hierzu ist
eine Verschlüsselung oder eine Maskierung uner-
lässlich.
Bei den heutigen technischen Möglichkeiten in
unserer zunehmend international agierenden Welt
wird es immer wichtiger, sich gegen Datenkom-
promittierung abzusichern. Der PCI-Standard ist
ein großer und wichtiger Schritt in diese Richtung.
Neben der eigenen Compliance sollte der Händler
darauf achten, dass auch seine PSP und Drittdienst-
leister den PCI-Standards genügen. Langfristig wird
damit das Vertrauen in den Online-Handel gestärkt,
womit sowohl dem Händler als auch dem Kunden
gedient ist.
Welche Daten dürfen gespeichert werden und welche nicht?
Grundsätzlich gilt es, zwischen zwei Datenarten
zu unterscheiden. Die sogenannten vertraulichen
Identifizierungsdaten (Sensitive Authentication Data)
dürfen nicht gespeichert werden. Es handelt sich
hierbei um die Daten, mit denen Karteninhaber sich
identifizieren und Kartentransaktionen autorisieren,
wie zum Beispiel die Kartenprüfnummer oder die
Daten des Magnetstreifens.
Zu den Karteninhaberdaten (Card Holder Data)
gehören der Name des Karteninhabers, die Karten-
nummer oder das Ablaufdatum der Karte. Diese
Sicherheitsanforderungen bei der Datenspeicherung
Datenart Speicherung erlaubt? Verschlüsselung vorgeschrieben?
Kartennummer ja ja
Gültigkeit ja nein
Service-Code ja nein
Name des Karteninhabers ja nein
Magnetstreifendaten neinnicht notwendig,
da Speicherung nicht erlaubt
Kartenprüfnummer neinnicht notwendig,
da Speicherung nicht erlaubt
PIN neinnicht notwendig,
da Speicherung nicht erlaubt
Infobox 4: Sicherheitsanforderungen bei der Datenspeicherung
www.ecommerce-leitfaden.de 9
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Bin ich automatisch compliant, wenn ich eine �
Payment-Software nutze?
Nein, leider nicht. Es gibt eine ganze Reihe von
Lösungen verschiedener Software-Hersteller bis hin
zur Open-Source-Software, die über das Internet
frei verfügbar ist. Diese Applikationen können Kar-
tendaten speichern oder auch nur weiterleiten. Eine
Regelkonformität ist nur dann gegeben, wenn eine
sogenannte PA-DSS-Software (Payment Application
Data Security Standard) wie z. B. die ConCardis Pay-
Engine genutzt wird und alle involvierten Parteien
(PSP, Drittdienstleister) PCI-compliant sind oder
nicht mit den Kartendaten in Berührung kommen.
Unabhängig jedoch von der verwendeten Software
muss der Händler immer den Self-Assessment-
Fragebogen (SAQ) ausfüllen und ggf. einen Scan
durchführen lassen.
Welche Verpflichtungen bestehen für die Acqui- �
rer oder Händlerbanken?
Die Acquirer oder Händlerbanken haben die
PCI-Vorgaben ebenfalls einzuhalten. Darüber hinaus
müssen sie die Einhaltung der Regeln für ihre Händ-
ler und ggf. kooperierenden Dienstleister, die für sie
Daten speichern und / oder verarbeiten, sicherstel-
len und in regelmäßigen Abständen nachweisen.
Fragen und AntwortenWelche Vorteile hat die Umsetzung der PCI- �
Vorgaben?
Mit PCI haben es Betrüger schwerer, Karten-
daten zu kompromittieren. Für die Kunden bedeutet
dies erhöhte Datensicherheit und Vertrauen, was
den Umsatz steigern kann und das Image des Un-
ternehmens schützt und verbessert. Der Händler
ist stärker abgesichert vor finanziellen Schäden und
Schadenersatzforderungen. Datenminimierung und
-vermeidung führen nicht nur zur Reduzierung des
Unternehmensrisikos, sondern auch zu Kostenre-
duzierung.
Welche Konsequenzen drohen bei Nichteinhal- �
tung des PCI DSS?
Wird der PCI DSS nicht eingehalten, d. h. lassen
sich die Händler nicht gemäß den PCI-Vorgaben zer-
tifizieren und kommt es später zu einem Diebstahl
von Kartendaten aus dem System des Händlers,
drohen schwerwiegende Konsequenzen. Betroffene
Unternehmen müssen damit rechnen, dass sie von
ihrem Acquirer für Strafzahlungen seitens der Kar-
tenorganisationen in Regress genommen werden.
Tritt bei einem Händler oder Dienstleister der Level
2 bis 4 ein Datendiebstahl auf, wird er auf Level 1
hochgestuft. Eine Einordnung in diese Kategorie ist
mit höheren Kosten verbunden, da umfassendere
Compliance-Prüfungen erforderlich werden. Zu-
sätzlich kann ein bekannt gewordener Datendieb-
stahl das Ansehen eines Unternehmens nachhaltig
schädigen und ein Verlust von Kundenvertrauen zur
Folge haben – mit entsprechendem Geschäftsver-
lust.
Was ist die Safe-Harbour-Lösung? �
Die Safe-Harbour-Lösung wurde seitens Mas-
terCard und Visa ins Leben gerufen. Wenn ein Händ-
ler PCI-zertifiziert bzw. PCI DSS-compliant (je nach
Level-Einstufung) ist und dennoch Opfer einer Da-
tenkomprimittierung wird, können die Strafgebüh-
ren reduziert oder ganz erlassen werden.
www.ecommerce-leitfaden.de 10
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Mit welchem Zeitaufwand ist die Umsetzung des PCI-Standards verbunden? �
Es gibt keine pauschalen Richtwerte für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS,
da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung
unterschiedlich verläuft.
Bezieht sich PCI nur auf die elektronische Speicherung und Weiterleitung von Daten oder sind auch Papier, �
Brief und Fax mit eingeschlossen?
Unabhängig vom Medium sind Kartendaten immer der Gefahr von Diebstahl ausgesetzt. Daher müssen so-
wohl Computer, E-Mails oder auch ausgedruckte Unterlagen vor unbefugtem Zugriff geschützt werden. Die Kar-
tennummer ist möglichst zu anonymisieren (d. h. „auszuixen“), zu verschlüsseln und sicher zu verwahren (Tre-
sor). Im Falle eines Transports sind sie per Kurier zu versenden, da hier eine Rückverfolgung möglich ist. Nicht
mehr benötigte Daten müssen sorgfältig vernichtet werden (z. B. Partikelschnitt bei Aktenvernichter).
Weiterführende Informationen
http://www.ecommerce-leitfaden.de/kreditkarte �
http://www.pcisecuritystandards.org �
http://www.visaeurope.com/aboutvisa/security/ais/resourcesanddownloads.jsp �
http://www.mastercard.com/us/sdp/index.html �
http://www.concardis.com/de/kartenzahlung/kundenservice/sicherheit/ � sicherheit-im-e-commerce/pcisdpais.html
http://www.payengine.de �
Infobox 5: Weiterführende Informationen
www.ecommerce-leitfaden.de 11
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Glossar
Acquirer
Ein Acquirer ist die kreditkartenbetreuende Stelle des Händlers. Er wickelt für den Händler die Autorisierung und
Abrechnung bei Kreditkartenzahlungen ab. Des Weiteren akquiriert er Akzeptanzstellen für Kreditkartenzahlun-
gen (z. B. aus Handel, Hotellerie, Gastronomie, Autovermietung, Fluggesellschaften). Um tätig zu werden, benö-
tigt ein Acquirer von der entsprechenden Kartenorganisation eine Lizenz.
Approved Scanning Vendor (ASV)
Ein ASV führt Security Scans durch, um mögliche Schwachstellen im System eines Händlers aufzudecken. Die
Untersuchung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt
die Durchführung der Security Scans ausschließlich den ASV.
Compliance
Als Compliance bezeichnet man das Befolgen von Gesetzen, Richtlinien und Vorgaben.
Debitkarte
Zahlungskarte, die einen Verfügungsrahmen aufweist und mit der ein Karteninhaber Waren oder Dienstleistungen
an einer elektronischen Kasse bezahlen kann. Bei Zahlung mit einer Debitkarte wird das Konto des Kunden in der
Regel bereits nach einigen Werktagen direkt mit dem Zahlungsbetrag belastet.
Imprinter
Ein Umdrucker (ugs. „Ritsch-Ratsch-Gerät“) wird dazu verwendet, die auf einer Karte hochgeprägten Daten auf
ein Abrechnungsformular zu übertragen.
Kartenprüfnummer
Die Kartenprüfnummer ist als zusätzliches Sicherheitsmerkmal auf der Kreditkarte aufgedruckt und muss häufig
bei Transaktionen, bei denen der Karteninhaber nicht physisch anwesend ist (Bestellungen per Fax, Telefon oder
Internet), neben der eigentlichen Kreditkartennummer angegeben werden. Somit soll sichergestellt werden, dass
eine Kreditkartenzahlung nur vom tatsächlichen Besitzer der Karte initiiert werden kann.
Kompromittierung
Kompromittierung im technischen Sinn bezeichnet die Manipulation, den Diebstahl oder den Verlust der Verfü-
gungsgewalt von Daten bzw. Systemen zur missbräuchlichen Nutzung durch Angreifer.
www.ecommerce-leitfaden.de 12
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Karteninhaberdaten (Card Holder Data)
Zu den Karteninhaberdaten gehören der Name des Karteninhabers, die Kartennummer oder das Ablaufdatum der
Karte.
Kreditkarte
Kreditkarten dienen der bargeldlosen Bezahlung von Waren und Dienstleistungen bei Vertragsunternehmen der
kartenherausgebenden Organisationen. Eine Kreditkarte weist einen mit dem Kartenherausgeber vereinbarten
Verfügungsrahmen auf. Im Unterschied zu einer Debitkarte erfolgt die Bezahlung für den Karteninhaber in der
Regel zeitlich verzögert (zu einem festgelegten Zeitpunkt) für alle zwischen zwei Abrechnungszyklen aufgelau-
fenen Beträge. Im Internet sind Kreditkartenzahlungen grundsätzlich allein durch Übermittlung der Kreditkar-
tennummer möglich. Allerdings setzt sich das akzeptierende Unternehmen dabei Betrugsrisiken aus, die durch
zusätzliche Maßnahmen verringert werden können.
MOTO
MOTO (Mail Order / Telephone Order) bezeichnet einen Teilbereich des Fernabsatzes, bei dem der Vertragsab-
schluss über Leistungen (Kauf- oder Dienstverträge) zwischen den beteiligten Parteien über Post, Fax, E-Mail
oder Telefon erfolgt.
Payment Service Provider
Ein Payment Service Provider (PSP) ist ein Unternehmen, das bei Kreditkartenzahlungen die technische Anbin-
dung des Händlers an den Acquirer realisiert und die einzelnen Transaktionen verarbeitet. Zunehmend bieten PSP
auch weitere, umfangreiche Zahlungsdienstleistungen an, wie etwa die Anbindung von bestehenden Online-Shops
zur elektronischen Abwicklung unterschiedlicher Zahlungstransaktionen, Authentifizierung von Verbrauchern,
Konto- bzw. Bonitätsüberprüfungen oder Abrechnungen.
PCI
Um Kreditkartendaten vor Missbrauch zu schützen, haben die Kreditkartenorganisationen einen gemeinsamen
Standard, den Payment Card Industry (PCI) Data Security Standard (PCI DSS), geschaffen. Dieses Regelwerk im
Zahlungsverkehr besteht aus einer Liste von Anforderungen an die Rechnernetze für alle Unternehmen, die Kre-
ditkartendaten verarbeiten, speichern oder weiterleiten (z. B. Händler, Acquirer oder sonstige Dienstleister).
PCI-Council
Das PCI-Council ist ein Rat (Gremium), der das Ziel hat, die umfassende Einhaltung der PCI-Sicherheitsrichtlinien
zu fördern, um damit alle Beteiligten der Zahlungskette beim Schutz der Kreditkartendaten zu unterstützen.
PIN (persönliche Identifikationsnummer)
Eine PIN (auch Geheimzahl) ist eine Zahl, von der in der Regel nur eine Person Kenntnis hat. Mit der PIN kann sich
diese Person gegenüber einer Maschine oder einem System authentifizieren.
www.ecommerce-leitfaden.de 13
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Point of Sale (POS)
Der Ort, an dem die Kauf- bzw. Verkaufstransaktion abgewickelt wird, z. B. die Ladenkasse in einem Kaufhaus.
Qualified Security Assessor (QSA)
Ein QSA führt Security Audits durch, um einen Händler beim Umgang mit Kreditkartendaten zu bewerten. Die
Bewertung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt die
Durchführung der Security Audits ausschließlich den QSA.
Safe-Harbour-Lösung
Die Safe-Harbour-Lösung im PCI-Standard wurde seitens MasterCard und Visa ins Leben gerufen. Wenn ein
Händler PCI-zertifiziert bzw. PCI DSS-compliant (je nach Level-Einstufung) ist und dennoch Opfer einer Daten-
komprimittierung wird, können die Strafgebühren reduziert oder ganz erlassen werden.
Service-Code
Der Service-Code ist ein dreistelliger Zahlencode, der auf dem Magnetstreifen als auch im Chip der Karte gespei-
chert ist und dazu dient, dem Terminal die Eigenschaften der Karte anzuzeigen (z. B. international einsetzbare
Chipkarte, Autorisierung nur online möglich).
Security Audits
Ein Security Audit ist eine Sicherheitsprüfung, bei der eine Ortsbegehung beim Händler vorgenommen wird, die
auch die Besichtigung der Serverräume, Mitarbeiter-Interviews u. Ä. mit einschließt.
Security Scans
Security Scans haben das Ziel, Schwachstellen in Architektur und Konfiguration von Systemen aufzudecken. Die
Systeme werden dabei über das Internet netzseitig mit Hilfe von Security Scannern auf mögliche Schwächen hin
untersucht. Ist der Scan in Ordnung, wird seitens des Zertifizierers ein Zertifikat ausgestellt. Falls nicht, muss der
Kunde die Mängel beheben und einen sogenannten Rescan durchführen lassen.
Self Assessment Questionnaires (SAQ)
Self Assessment Questionnaires (SAQ) sind verschiedene Fragebögen, mit deren Hilfe ein Händler in eine be-
stimmte Händlerkategorie eingestuft wird, um die geforderten Maßnahmen zu PCI-Zertifizierung zu bestimmen.
Der Fragebogen wird jährlich aktualisiert. Gefragt wird hier nicht nur nach der Art der Verarbeitung von Kartenda-
ten, sondern auch nach allgemeinen Unternehmensinformationen, Verbindungen zu anderen Unternehmen und
technischen Details, die sich auf die Umsetzung der zwölf PCI-Anforderungen beziehen.
www.ecommerce-leitfaden.de 14
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Terminal
Gerät, in der Regel mit Tastatur und Display, das die elektrische Versorgung und den Datenaustausch im bargeld-
losen Zahlungsverkehr ermöglicht.
Vertrauliche Identifizierungsdaten (Sensitive Authentication Data)
Vertrauliche Identifizierungsdaten sind Daten, mit denen Karteninhaber sich identifizieren und Kartentransakti-
onen autorisieren (z. B. die Kartenprüfnummer oder die Daten des Magnetstreifens). Diese dürfen nicht gespei-
chert werden.
Zertifizierung
Bei einer Zertifizierung prüft ein Zertifizierer die Einhaltung bestimmter Anforderungen zu einem bestimmten
Zeitpunkt und bescheinigt dies in der Regel mit der Ausstellung eines Zertifikats.
www.ecommerce-leitfaden.de 15
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Über das E-Commerce-Special
Das E-Commerce-Special ist eine Informationsreihe, die über spezielle Themen zum Online-Handel berich-
tet. Die Inhalte werden von ibi research zusammen mit Experten aus der Praxis kostenlos zur Verfügung gestellt.
Damit werden die Themenschwerpunkte des E-Commerce-Leitfadens vertieft.
Der E-Commerce-LeitfadenDer Verkauf von Waren und Dienstleistungen über das Internet stellt eine zunehmend wichtiger werdende
Einnahmequelle für deutsche Unternehmen dar. In der Praxis zeigt sich jedoch, dass Unternehmen häufig mit
massiven Problemen zu kämpfen haben. Viele Unternehmen lassen sich dadurch von einem Engagement im In-
ternet abschrecken oder stellen ihre Aktivitäten entmutigt wieder ein.
Genau hier setzt der E-Commerce-Leitfaden an. Er gibt kompakt und aus einem Guss Antworten auf die wich-
tigsten Fragen rund um den elektronischen Handel.
Der Leitfaden behandelt folgende Themenschwer-
punkte:
Einstieg in den E-Commerce �
Erfolgskontrolle der Online-Aktivitäten �
Auswahl geeigneter Zahlungsverfahren �
Schutz vor Zahlungsstörungen �
Versand und Bestellabwicklung �
Erschließung ausländischer Märkte �
Verdeutlicht werden die Inhalte durch Experten-
Interviews, Fallbeispiele, Checklisten, Infoboxen,
Grafiken und Tabellen sowie ein umfangreiches
Glossar.
Begleitende Website mit weiteren Angeboten: www.ecommerce-leitfaden.de
E-Commerce-Newsletter �
Studien und Beiträge zu aktuellen Themen �
Anbieterverzeichnis �
Rechen-Tools �
Veranstaltungshinweise �
E-Commerce-Trends �
www.ecommerce-leitfaden.de 16
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Partner des E-Commerce-LeitfadensDas Projekt E-Commerce-Leitfaden wird von den folgenden namhaften Lösungsanbietern aus dem E-Commerce-Bereich unterstützt.
PraxisbeispieleInfoboxen und Checklisten
Umfrageergebnisse
www.ecommerce-leitfaden.de 17
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Atrada
Atrada bietet Handel und Herstellern hochskalierbare eCommerce Lösungen
und übernimmt dabei Verantwortung über die gesamte Wertschöpfungsket-
te hinweg.
Weitere Informationen: www.atrada.net �
atriga
atriga ist ein innovatives Inkassounternehmen und bietet ein umfassendes
Leistungs- und Informationsangebot für innovatives Forderungsmanage-
ment.
Weitere Informationen: www.atriga.de �
cateno
cateno entwickelt und vertreibt die Software-Lösungen ShopSync und Auc-
tionSync zur Automatisierung von warenwirtschaftlichen Prozessen.
Weitere Informationen: www.cateno.de �
ConCardis
ConCardis ist ein führender Anbieter im Bereich des bargeldosen Zahlungs-
verkehrs und bietet die gesamte Servicepalette für das Präsenz- und Fern-
absatzgeschäft.
Weitere Informationen: www.concardis.com �
creditPass
creditPass ermöglicht über nur eine Schnittstelle den direkten Zugriff auf
alle renommierten Auskunfteien und Auskunftsarten inklusive Abfrage- und
Entscheidungslogiken.
Weitere Informationen: www.creditpass.de �
etracker
etracker ist mit mehr als 65.000 Kunden ein führender Anbieter von Produk-
ten und Dienstleistungen zur Optimierung von Websites und Online-Marke-
ting-Kampagnen.
Weitere Informationen: www.etracker.com �
www.ecommerce-leitfaden.de 18
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
EURO-PRO Ges. für Data Processing mbH
EURO-PRO gehört heute zu den marktführenden Unternehmen im Bereich
von Ermittlungs- und Informationsdienstleistungen in Deutschland.
Weitere Informationen: www.europro.de, www.europro-bonitaet.de �
Hermes Logistik Gruppe Deutschland
Als Deutschlands größter postunabhängiger Consumer-Logistiker transpor-
tiert die Hermes Logistik Gruppe alles vom Brief über das Paket bis hin zu
Möbeln.
Weitere Informationen: www.hlg.de �
ibi research an der Universität Regensburg
ibi research an der Universität Regensburg forscht und berät zu Fragestel-
lungen rund um das Thema „Finanzdienstleistungen in der Informationsge-
sellschaft“.
Weitere Informationen: www.ibi.de, www.ecommerce-ostbayern.de �
mpass
mpass ist das komfortable und sichere Internet-Bezahlsystem der deutschen
Telekommunikationsunternehmen Vodafone und Telefónica O2.
Weitere Informationen: www.mpass.de �
Saferpay
Saferpay ist die umfassende E-Payment-Lösung, die speziell für den E-Com-
merce und Phone-Mailorder-Handel entwickelt wurde.
Weitere Informationen: www.saferpay.com �
xt:Commerce
xt:Commerce ist eine der führenden Open-Source-eCommerce-Lösungen
und bietet kostengünstig Software-Lösungen für das eBusiness an.
Weitere Informationen: www.xt-commerce.com �
SaferpayTM
www.ecommerce-leitfaden.de 19
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Impressum
E-Commerce-SpecialPCI: Der erfolgreiche Umgang mit Kreditkartendaten
Marion Musch, Christoph Jung und Steffen Zückler,
ConCardis GmbH, Solmsstraße 4, 60486 Frankfurt am Main
ISBN 978-3-940416-14-8
ISSN 1869-1471
Herausgeber:
Thomas Krabichler, Dr. Ernst Stahl, Silke Weisheit, Georg Wittmann
Kontakt:
E-Commerce-Leitfaden
c/o ibi research an der Universität Regensburg GmbH
Regerstraße 4
93053 Regensburg
Telefon: 0941 943-1901
Telefax: 0941 943-1888
E-Mail: [email protected]
Web: www.ecommerce-leitfaden.de und www.ibi.de
Alle Rechte vorbehalten
© August 2009 ibi research an der Universität Regensburg GmbH, Regerstraße 4, 93053 Regensburg
© Fotos: Shutterstock, istockphoto.com und ibi research
Das vorliegende Werk einschließlich aller Teile ist urheberrechtlich geschützt und Eigentum der ibi research an
der Universität Regensburg GmbH. Verwertungen sind nur unter Angabe der vollständigen Quelle „E-Commerce-
Special Nr. 1 – PCI (www.ecommerce-leitfaden.de)“ zulässig. Das gilt insbesondere auch für Vervielfältigungen,
Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Bitte beachten Sie auch die rechtlichen Hinweise im Haftungsausschluss.
www.ecommerce-leitfaden.de 20
PCI: Der richtige Umgang mit Kreditkartendaten
eCommerceS p e c i a l
Haftungsausschluss
ibi research und ConCardis haben sich bemüht, richtige und vollständige Informationen zur Verfügung zu stel-
len. Alle Angaben wurden nach bestem Wissen und mit größtmöglicher Sorgfalt erstellt und überprüft. Dennoch
übernehmen ibi research und ConCardis keine Garantie oder Haftung für die Fehlerfreiheit, Genauigkeit, Aktua-
lität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen, Texte, Interviews, Checklisten, Übersich-
ten, Grafiken, Links und sonstige in diesem Werk enthaltene Elemente. Durch die Rundung einiger Umfragewerte
kommt es vereinzelt zu von 100 % abweichenden Gesamtsummen.
Interviews und Kommentare Dritter spiegeln deren Meinung wider und entsprechen nicht zwingend der Mei-
nung von ibi research und ConCardis. Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit, Wahrheitsgehalt und
Vollständigkeit der Ansichten Dritter können seitens ibi research und ConCardis nicht zugesichert werden.
Das Werk wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt
u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen
bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts.
Die Informationen Dritter, auf die Sie möglicherweise über die in diesem Werk enthaltenen Internet-Links
und sonstigen Quellenangaben zugreifen, unterliegen nicht dem Einfluss von ibi research und ConCardis. ibi re-
search und ConCardis unterstützen nicht die Nutzung von Internet-Seiten Dritter und Quellen Dritter und gibt
keinerlei Gewährleistungen oder Zusagen über Internet-Seiten Dritter oder Quellen Dritter ab.
Haftungsansprüche gegen ibi research und ConCardis, welche sich auf Schäden materieller oder ideeller Art
beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung feh-
lerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. Dies gilt u. a.
und uneingeschränkt für konkrete, besondere und mittelbare Schäden oder Folgeschäden, die aus der Nutzung
dieser Materialien entstehen können, sofern seitens ibi research und ConCardis kein nachweislich vorsätzliches
oder grob fahrlässiges Verschulden vorliegt.
Die in diesem Werk enthaltenen Texte zu rechtlichen und rechtsverwandten Themen dienen ausschließlich
der allgemeinen, grundsätzlichen Information und Weiterbildung. Sie stellen insbesondere keine Beratung im
Falle eines individuellen rechtlichen Anliegens dar. Die Autoren haben versucht, richtige und aktuelle Informati-
onen aufzubereiten. ibi research und ConCardis übernehmen keine Garantie oder Haftung für die Fehlerfreiheit,
Genauigkeit, Aktualität, Richtigkeit und Vollständigkeit dieser Informationen. Das Werk kann und will insbeson-
dere keine Rechtsberatung ersetzen. ibi research und ConCardis empfehlen deshalb grundsätzlich bei Fragen zu
Rechts- und Steuerthemen und rechtsverwandten Aspekten, sich an einen Anwalt oder an eine andere qualifizier-
te Beratungsstelle zu wenden.
Die Wiedergabe von Gebrauchsnamen, Warenbezeichnungen, Handelsnamen und dergleichen in diesem
Werk enthaltenen Namen berechtigt nicht zu der Annahme, dass solche Namen und Marken im Sinne der Waren-
zeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann genutzt werden
dürften. Vielmehr handelt es sich häufig um gesetzlich geschützte, eingetragene Warenzeichen, auch wenn sie
nicht als solche gekennzeichnet sind. Alle zitierten Marken-, Produkt- und Firmennamen sind das Alleineigentum
der jeweiligen Besitzer.
Infoanforderung
E-Commerce-Leitfaden
ibi research an der Universität Regensburg
Regerstraße 4
93053 Regensburg
FAX AN: 0941 / 94 31 888
Absender:
Firma:
Name:
Straße:
PLZ, Ort:
E-Mail:
Abteilung:
Telefon:
Fax:
Web:
E-Commerce-NewsletterBitte senden Sie mir regelmäßig den E-Commerce-Newsletter (14-tägig, kostenlos).
E-Commerce-Leitfaden als BuchBitte senden Sie mir den E-Commerce-Leitfaden als hochwertig gedrucktes Buch zum Preis
von 59,90 Euro (inkl. gesetzl. MwSt., versandkostenfrei, Hardcover, Farbdruck, A4-Format).
Informationen über die Partner des E-Commerce-LeitfadensBitte senden Sie mir kostenlos und unverbindlich weitere Informationen über:
Atrada EURO-PRO
atriga Hermes Logistik Gruppe
cateno ibi research an der Universität Regensburg
ConCardis mpass
creditPass Saferpay
etracker xt:Commerce