PCI Special

PCI: Der richtige Umgang mit Kreditkartendaten

www.ecommerce-leitfaden.de

E-COMMERCE-LEITFADEN

E-Commerce-Special Nr. 1 | ISBN: 978-3-940416-14-8 ISSN: 1869-1471

eCommerceS p e c i a l

E-COMMERCE-SPECIALPRAXISWISSEN FÜR ONLINE-HÄNDLER


www.ecommerce-leitfaden.de 2

Über ConCardisDie ConCardis GmbH in Frankfurt am Main ist eines der führenden Serviceunternehmen im Bereich des bar-

geldlosen Zahlungsverkehrs. Als Gemeinschaftsunternehmen der deutschen Kreditwirtschaft erbringt ConCardis

für circa 400.000 Akzeptanzstellen Serviceleistungen rund um das kartengestützte Bezahlen. Unternehmen, die

Kredit- oder Debitkarten akzeptieren möchten, erhalten ein komplettes Lösungsangebot: vom Akzeptanzvertrag

oder Terminal für das Präsenzgeschäft bis hin zu besonderen Dienstleistungen zur Optimierung der mit der Kar-

tentransaktion verbundenen Abläufe. Darüber hinaus stellt ConCardis selbstverständlich auch eine große Aus-

wahl an Bezahlverfahren für den E-Commerce und den Versandhandel zur Verfügung. Das Thema „Sicherheit im

bargeldlosen Zahlungsverkehr” hat für ConCardis eine hohe Priorität – sowohl im Präsenzgeschäft als auch im

Bereich Fernabsatz. Nicht zuletzt aus diesem Grund nimmt das Unternehmen im Bereich der Sicherheitstech-

nologie eine Vorreiterrolle ein. Um der steigenden Nachfrage nach sicheren E-Commerce-Produkten gerecht zu

werden, bietet ConCardis für interessierte Händler aus dem Bereich E-Commerce und Versandhandel eine eigene

Payment-Software, die ConCardis PayEngine, an. In Kürze wird die ConCardis PCI-Plattform online gehen, auf der

Händler umfassende Informationen über die einzuhaltenden Auskunfts- und Dokumentationsprozesse finden und

sich gemäß den Vorgaben der Kartenorganisationen zertifizieren lassen können. Zusätzlich stehen kompetente

Ansprechpartner telefonisch und per Mail bei Fragen zur Verfügung. ConCardis Kunden können sich kostenfrei

registrieren.

Weitere Informationen: www.concardis.com �

Dieses E-Commerce-Special wird Ihnen zur Verfügung gestellt von




Inhalt

1. Einleitung ................................................................................................................................................................4

2. Erste Schritte zur Compliance ...............................................................................................................................5

3. Wie funktioniert die Zertifizierung?........................................................................................................................5

4. Die zwölf Anforderungen von PCI ...........................................................................................................................7

5. Welche Daten dürfen gespeichert werden und welche nicht? ...............................................................................8

6. Fragen und Antworten ............................................................................................................................................9

Glossar ...................................................................................................................................................................... 11

Über das E-Commerce-Special ................................................................................................................................ 15

Der E-Commerce-Leitfaden ..................................................................................................................................... 15

Partner des E-Commerce-Leitfadens ...................................................................................................................... 16

Impressum ................................................................................................................................................................ 19

Haftungsausschluss .................................................................................................................................................. 20

Infoanforderung ........................................................................................................................................................ 21

Abkürzungen

ASV Approved Scanning Vendor

B2C Business-to-Consumer

C2C Consumer-to-Consumer

MOTO Mail Order / Telephone Order

PA-DSS Payment Application Data Security Standard

PCI (DSS) Payment Card Industry (Data Security Standards)

PIN Persönliche Identifikationsnummer

POS Point of Sale

PSP Payment Service Provider

QSA Qualified Security Assessor

ROI Return on Investment

SAQ Self Assessment Questionnaire





Einleitung

Der Missbrauch von gestohlenen Kreditkar-

tendaten ist ein Thema, welches in regelmäßigen

Abständen durch die Presse geht. Auch im Online-

Handel kommen solche Betrügereien immer wieder

vor, was zur Verunsicherung der Kunden und zu fi-

nanziellen Verlusten der Händler führt.

Um das Vertrauen der Verbraucher in die Be-

zahlform Kreditkarte zu stärken und um den Händler

zu schützen, haben die Kreditkartenorganisationen

gemeinsame Sicherheitsstandards beim Umgang

mit Karten- und Transaktionsdaten geschaffen. Die

Payment Card Industry Data Security Standards, kurz

PCI genannt, umfassen eine Reihe von verbindlichen

Regeln für alle Parteien, die Kartendaten verarbei-

ten, speichern oder weiterleiten. Händler sind hier

genauso mit eingeschlossen wie Acquirer, Payment

Service Provider (PSP) oder Drittdienstleister.

Leider werden diese Regeln nicht immer mit

Begeisterung aufgenommen. Gerade große Unter-

nehmen mit komplexen Kassensystemen beklagen

den hohen technischen Aufwand und die Implemen-

tierungskosten, die mit einer PCI-konformen Aus-

richtung ihrer EDV-Systeme verbunden sind. Eine

Missachtung der PCI-Vorgaben kann bei Datenkom-

promittierung jedoch zu hohen Strafen der Karten-

organisationen führen, ganz zu schweigen von einer

massiven Image-Schädigung.

Der Vorwurf, dass PCI nicht anwenderfreundlich

sei, kann auch aus dem Grund nicht gehalten wer-

den, weil mittlerweile rund 500 Institutionen Mitglied

im Beratergremium der Regelgeber sind. Die Mit-

gliedschaft steht jedem offen und wird bisher unter

anderem von Hotelketten, Fluggesellschaften oder

Software-Unternehmen wahrgenommen. Zusätzlich

sind alle kartenakzeptierenden Unternehmen ein-

geladen, Verbesserungsvorschläge zu unterbreiten.

Viele unternehmensseitige Anregungen wurden be-

reits in den Standard eingearbeitet. So stammt auch

der Vorschlag der Einführung eines Gütesiegels aus

dem großen Kreis der kartenakzeptierenden Händ-

ler. Diese Möglichkeit wird zurzeit noch vom Gremi-

um diskutiert und würde einen weiteren Schritt bei

der Schaffung von Kundenvertrauen bedeuten.

Dabei sind die ersten Schritte in Richtung Si-

cherheit gar nicht so schwer. Die Installation einer

Firewall auf dem Computer oder der Gebrauch ei-

ner auf dem aktuellen Stand gehaltenen Anti-Virus-

Software sollten eigentlich eine Selbstverständlich-

keit sein, sowohl bei der geschäftlichen als auch der

privaten PC-Nutzung. Tipps zur Überprüfung von

Kartendaten und zum Fernabsatz im Allgemeinen

finden sich nicht nur im E-Commerce-Leitfaden,

sondern auch an zahlreichen Stellen im Internet.

Auch sind die mit dem Thema PCI vertrauten Zertifi-

zierer immer gerne zur Auskunft bereit.




Wie funktioniert die Zertifizierung?

Zur PCI-Zertifizierung werden bei Händlern

aller Kategorien sogenannte Security Scans durch-

geführt, welche das Ziel haben, Schwachstellen in

Architektur und Konfiguration der untersuchten

Systeme aufzudecken, die ein Angreifer ausnutzen

könnte, um Kreditkartendaten zu kompromittieren.

Die Systeme werden dabei über das Internet netz-

seitig mit Hilfe von Security Scannern untersucht.

Die eingesetzten Werkzeuge prüfen auf bekannte

Schwächen von Netzwerkkomponenten, Betriebs-

systemen und Applikationen. Der Scan erfolgt auto-

matisch, der Kunde erhält einen Scanreport. Ist der

Scan in Ordnung, wird seitens des Zertifizierers ein

Zertifikat über die PCI-Compliance ausgestellt. Falls

nicht, muss der Kunde die Mängel beheben und ei-

nen sogenannten Rescan durchführen lassen.

Security Audits werden nur bei Händlern des

Levels 1 (vgl. Infobox 2) zusätzlich zum Security Scan

durchgeführt. Für diese Sicherheitsprüfung wird

eine Ortsbegehung vorgenommen, die auch die Be-

sichtigung der Serverräume, Mitarbeiter-Interviews

u. Ä. mit einschließt.

Die Bewertung des Händlerstatus darf aus-

schließlich durch akkreditierte Partner (Approved

Scanning Vendor – ASV bzw. Qualified Security As-

sessor – QSA) durchgeführt werden. Die Durch-

führung der Scans obliegt ausschließlich den ASV,

während die QSA für die Security Audits zustän-

dig sind. Alle Zertifizierer müssen sich beim PCI-

Council gesondert qualifizieren sowie Nachweise

über regelmäßige Trainings erbringen. Eine aktu-

elle Liste der akkreditierten Partner kann bei den

Kreditkartenorganisationen auf der Homepage

oder unter folgendem Link abgerufen werden:

https://www.pcisecuritystandards.org/pdfs/

asv_report.html.

Wichtig: Lassen Sie Ihrem Acquirer immer Ihr

neues Zertifikat zukommen, da er Ihre Compliance

gegenüber den Kreditkartenorganisationen nach-

weisen muss!

Erste Schritte zur Compliance

Grundsätzlich ist jedes Unternehmen, welches

Kartendaten speichert, verarbeitet oder übermittelt,

dazu verpflichtet, PCI-compliant zu sein, das heißt

für die Sicherheit der Kartendaten zu sorgen. Der

erste Schritt ist die Registrierung bei einem Zerti-

fizierer wie beispielsweise usd (http://www.usd.de),

SRC (http://www.src-gmbh.de) oder Acertigo (http://

acertigo.com).

Als nächster Schritt steht eine Einstufung des

Unternehmens und die Überprüfung der PCI-Com-

pliance an. Hierzu stehen verschiedene Fragebögen

zur Verfügung, die sogenannten Self Assessment

Questionnaires (SAQ). Wichtig ist hierbei zu beach-

ten, dass gemäß den Vorgaben jedes Jahr ein sol-

cher Fragebogen ausgefüllt werden muss. Gefragt

wird hier nicht nur nach der Art der Verarbeitung

von Kartendaten, sondern auch nach allgemeinen

Unternehmensinformationen, Verbindungen zu an-

deren Unternehmen und technischen Details, die

sich auf die Umsetzung der zwölf PCI-Anforderun-

gen (vgl. Infobox 3) beziehen. Die Daten werden dann

vom Zertifizierer ausgewertet und der Händler er-

hält die Information, ob weitere Schritte eingeleitet

werden müssen.

SAQ-Übersicht

Fragebogenart nach Händlertyp SAQ

Card-not-present (E-Commerce /

MOTO), alles outgesourctA

Imprint-Händler, keine elektronische

DatenspeicherungB

Stand-alone Terminal, keine

elektronische DatenspeicherungB

POS-System mit Internet-Anbindung,

keine elektronische DatenspeicherungC

Alle anderen Händler und alle Service

ProviderD

Self Assessment Questionnaires (SAQ)Infobox 1:




Händlerkategorie Self Assessment Security Scan Security Audit

Level 1

> 6 Mio. Transaktionen p. a. mit

MasterCard bzw. Visa über alle

Vertriebskanäle

(POS, E-Commerce, MOTO)

— 4 x pro Jahr 1 x pro Jahr

Level 2

1 Mio. bis 6 Mio. Transaktionen p. a.

mit MasterCard bzw. Visa über alle

Vertriebskanäle

(POS, E-Commerce, MOTO)

1 x pro Jahr 4 x pro Jahr 1 x pro Jahr1

Level 3

20.000 bis 1 Mio. E-Commerce-

Transaktionen p. a. mit MasterCard bzw.

Visa

1 x pro Jahr 4 x pro Jahr —

Level 4

Alle anderen 1 x pro Jahr2 4 x pro Jahr3 —

Händlerkategorien bei MasterCard und Visa

Hinweise:

Acquirer können ihren Händlern zusätzliche Pflichten auferlegen. �

Für Händler, die Karten von American Express akzeptieren, gelten andere Kategorien. �

(siehe www.americanexpress.com)

1 ab 31.12.2010 Pflicht bei MasterCard 2 ab 01.10.2009 Pflicht bei Visa 3 verpflichtend nur für Händler mit SAQ C und D

Infobox 2: Händlerkategorien bei MasterCard und Visa




Der Standard versucht, möglichst alle Aspekte

im Bereich Kartenzahlung mit einzubeziehen. Die

Netzwerkarchitektur der Unternehmen wird daher

genauso betrachtet wie der Umgang mit kritischem

Datenmaterial seitens der Mitarbeiter.

In regelmäßigen Abständen werden die Vorga-

ben überarbeitet, um auf aktuelle Entwicklungen

einzugehen und Erfahrungen der Händler mit einzu-

beziehen. Die aktuelle Fassung 1.2 ist seit Oktober

2008 gültig. Das Herzstück des PCI-Standards sind

die im Folgenden aufgeführten zwölf Anforderun-

gen:

Die zwölf Anforderungen von PCI

Der PCI-Standard wurde durch den PCI Security

Standards Council entwickelt. Bekannte Kreditkar-

tenorganisationen und -herausgeber wie American

Express, MasterCard, Visa oder JCB International

sind maßgeblich daran beteiligt, die Sicherheit von

Kartendaten auf globaler Ebene zu verbessern und

so Händler und deren Kunden vor Zahlungsausfällen

und Betrügereien zu schützen.

Die PCI-Anforderungen im Überblick

Einrichtung und Instandhaltung der Firewall-Konfiguration zum Schutz der Daten1.

Keine Verwendung der vom Händler ausgelieferten und voreingestellten System-Passwörter bzw. 2.

anderer Sicherheitsparameter

Schutz der gespeicherten Daten3.

Verschlüsselte Übertragung der Karteninhaberdaten und sensibler Informationen über öffentliche Netze4.

Gebrauch und regelmäßige Aktualisierung der Anti-Viren-Programme5.

Entwicklung und Aufrechterhaltung von sicheren Systemen und Anwendungen 6.

Beschränkung des Zugriffs auf die Daten nach dem need-to-know-Prinzip7.

Zuweisung von eindeutigen Kennungen an alle Personen mit Computer-Zugriff8.

Einschränkung des physischen Zugangs zu Karteninhaberdaten9.

Verfolgung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen sowie Karteninhaberdaten10.

Regelmäßige Prüfungen der Sicherheitssysteme und -prozesse11.

Aufrechterhaltung von Informationssicherheitspolitik 12.

Infobox 3: PCI-Anforderungen




Daten dürfen gespeichert werden, solange sie vor

dem Zugriff Unbefugter geschützt sind. Hierzu ist

eine Verschlüsselung oder eine Maskierung uner-

lässlich.

Bei den heutigen technischen Möglichkeiten in

unserer zunehmend international agierenden Welt

wird es immer wichtiger, sich gegen Datenkom-

promittierung abzusichern. Der PCI-Standard ist

ein großer und wichtiger Schritt in diese Richtung.

Neben der eigenen Compliance sollte der Händler

darauf achten, dass auch seine PSP und Drittdienst-

leister den PCI-Standards genügen. Langfristig wird

damit das Vertrauen in den Online-Handel gestärkt,

womit sowohl dem Händler als auch dem Kunden

gedient ist.

Welche Daten dürfen gespeichert werden und welche nicht?

Grundsätzlich gilt es, zwischen zwei Datenarten

zu unterscheiden. Die sogenannten vertraulichen

Identifizierungsdaten (Sensitive Authentication Data)

dürfen nicht gespeichert werden. Es handelt sich

hierbei um die Daten, mit denen Karteninhaber sich

identifizieren und Kartentransaktionen autorisieren,

wie zum Beispiel die Kartenprüfnummer oder die

Daten des Magnetstreifens.

Zu den Karteninhaberdaten (Card Holder Data)

gehören der Name des Karteninhabers, die Karten-

nummer oder das Ablaufdatum der Karte. Diese

Sicherheitsanforderungen bei der Datenspeicherung

Datenart Speicherung erlaubt? Verschlüsselung vorgeschrieben?

Kartennummer ja ja

Gültigkeit ja nein

Service-Code ja nein

Name des Karteninhabers ja nein

Magnetstreifendaten neinnicht notwendig,

da Speicherung nicht erlaubt

Kartenprüfnummer neinnicht notwendig,


PIN neinnicht notwendig,


Infobox 4: Sicherheitsanforderungen bei der Datenspeicherung




Bin ich automatisch compliant, wenn ich eine �

Payment-Software nutze?

Nein, leider nicht. Es gibt eine ganze Reihe von

Lösungen verschiedener Software-Hersteller bis hin

zur Open-Source-Software, die über das Internet

frei verfügbar ist. Diese Applikationen können Kar-

tendaten speichern oder auch nur weiterleiten. Eine

Regelkonformität ist nur dann gegeben, wenn eine

sogenannte PA-DSS-Software (Payment Application

Data Security Standard) wie z. B. die ConCardis Pay-

Engine genutzt wird und alle involvierten Parteien

(PSP, Drittdienstleister) PCI-compliant sind oder

nicht mit den Kartendaten in Berührung kommen.

Unabhängig jedoch von der verwendeten Software

muss der Händler immer den Self-Assessment-

Fragebogen (SAQ) ausfüllen und ggf. einen Scan

durchführen lassen.

Welche Verpflichtungen bestehen für die Acqui- �

rer oder Händlerbanken?

Die Acquirer oder Händlerbanken haben die

PCI-Vorgaben ebenfalls einzuhalten. Darüber hinaus

müssen sie die Einhaltung der Regeln für ihre Händ-

ler und ggf. kooperierenden Dienstleister, die für sie

Daten speichern und / oder verarbeiten, sicherstel-

len und in regelmäßigen Abständen nachweisen.

Fragen und AntwortenWelche Vorteile hat die Umsetzung der PCI- �

Vorgaben?

Mit PCI haben es Betrüger schwerer, Karten-

daten zu kompromittieren. Für die Kunden bedeutet

dies erhöhte Datensicherheit und Vertrauen, was

den Umsatz steigern kann und das Image des Un-

ternehmens schützt und verbessert. Der Händler

ist stärker abgesichert vor finanziellen Schäden und

Schadenersatzforderungen. Datenminimierung und

-vermeidung führen nicht nur zur Reduzierung des

Unternehmensrisikos, sondern auch zu Kostenre-

duzierung.

Welche Konsequenzen drohen bei Nichteinhal- �

tung des PCI DSS?

Wird der PCI DSS nicht eingehalten, d. h. lassen

sich die Händler nicht gemäß den PCI-Vorgaben zer-

tifizieren und kommt es später zu einem Diebstahl

von Kartendaten aus dem System des Händlers,

drohen schwerwiegende Konsequenzen. Betroffene

Unternehmen müssen damit rechnen, dass sie von

ihrem Acquirer für Strafzahlungen seitens der Kar-

tenorganisationen in Regress genommen werden.

Tritt bei einem Händler oder Dienstleister der Level

2 bis 4 ein Datendiebstahl auf, wird er auf Level 1

hochgestuft. Eine Einordnung in diese Kategorie ist

mit höheren Kosten verbunden, da umfassendere

Compliance-Prüfungen erforderlich werden. Zu-

sätzlich kann ein bekannt gewordener Datendieb-

stahl das Ansehen eines Unternehmens nachhaltig

schädigen und ein Verlust von Kundenvertrauen zur

Folge haben – mit entsprechendem Geschäftsver-

lust.

Was ist die Safe-Harbour-Lösung? �

Die Safe-Harbour-Lösung wurde seitens Mas-

terCard und Visa ins Leben gerufen. Wenn ein Händ-

ler PCI-zertifiziert bzw. PCI DSS-compliant (je nach

Level-Einstufung) ist und dennoch Opfer einer Da-

tenkomprimittierung wird, können die Strafgebüh-

ren reduziert oder ganz erlassen werden.




Mit welchem Zeitaufwand ist die Umsetzung des PCI-Standards verbunden? �

Es gibt keine pauschalen Richtwerte für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS,

da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung

unterschiedlich verläuft.

Bezieht sich PCI nur auf die elektronische Speicherung und Weiterleitung von Daten oder sind auch Papier, �

Brief und Fax mit eingeschlossen?

Unabhängig vom Medium sind Kartendaten immer der Gefahr von Diebstahl ausgesetzt. Daher müssen so-

wohl Computer, E-Mails oder auch ausgedruckte Unterlagen vor unbefugtem Zugriff geschützt werden. Die Kar-

tennummer ist möglichst zu anonymisieren (d. h. „auszuixen“), zu verschlüsseln und sicher zu verwahren (Tre-

sor). Im Falle eines Transports sind sie per Kurier zu versenden, da hier eine Rückverfolgung möglich ist. Nicht

mehr benötigte Daten müssen sorgfältig vernichtet werden (z. B. Partikelschnitt bei Aktenvernichter).

Weiterführende Informationen

http://www.ecommerce-leitfaden.de/kreditkarte �

http://www.pcisecuritystandards.org �

http://www.visaeurope.com/aboutvisa/security/ais/resourcesanddownloads.jsp �

http://www.mastercard.com/us/sdp/index.html �

http://www.concardis.com/de/kartenzahlung/kundenservice/sicherheit/ � sicherheit-im-e-commerce/pcisdpais.html

http://www.payengine.de �

Infobox 5: Weiterführende Informationen




Glossar

Acquirer

Ein Acquirer ist die kreditkartenbetreuende Stelle des Händlers. Er wickelt für den Händler die Autorisierung und

Abrechnung bei Kreditkartenzahlungen ab. Des Weiteren akquiriert er Akzeptanzstellen für Kreditkartenzahlun-

gen (z. B. aus Handel, Hotellerie, Gastronomie, Autovermietung, Fluggesellschaften). Um tätig zu werden, benö-

tigt ein Acquirer von der entsprechenden Kartenorganisation eine Lizenz.

Approved Scanning Vendor (ASV)

Ein ASV führt Security Scans durch, um mögliche Schwachstellen im System eines Händlers aufzudecken. Die

Untersuchung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt

die Durchführung der Security Scans ausschließlich den ASV.

Compliance

Als Compliance bezeichnet man das Befolgen von Gesetzen, Richtlinien und Vorgaben.

Debitkarte

Zahlungskarte, die einen Verfügungsrahmen aufweist und mit der ein Karteninhaber Waren oder Dienstleistungen

an einer elektronischen Kasse bezahlen kann. Bei Zahlung mit einer Debitkarte wird das Konto des Kunden in der

Regel bereits nach einigen Werktagen direkt mit dem Zahlungsbetrag belastet.

Imprinter

Ein Umdrucker (ugs. „Ritsch-Ratsch-Gerät“) wird dazu verwendet, die auf einer Karte hochgeprägten Daten auf

ein Abrechnungsformular zu übertragen.

Kartenprüfnummer

Die Kartenprüfnummer ist als zusätzliches Sicherheitsmerkmal auf der Kreditkarte aufgedruckt und muss häufig

bei Transaktionen, bei denen der Karteninhaber nicht physisch anwesend ist (Bestellungen per Fax, Telefon oder

Internet), neben der eigentlichen Kreditkartennummer angegeben werden. Somit soll sichergestellt werden, dass

eine Kreditkartenzahlung nur vom tatsächlichen Besitzer der Karte initiiert werden kann.

Kompromittierung

Kompromittierung im technischen Sinn bezeichnet die Manipulation, den Diebstahl oder den Verlust der Verfü-

gungsgewalt von Daten bzw. Systemen zur missbräuchlichen Nutzung durch Angreifer.




Karteninhaberdaten (Card Holder Data)

Zu den Karteninhaberdaten gehören der Name des Karteninhabers, die Kartennummer oder das Ablaufdatum der

Karte.

Kreditkarte

Kreditkarten dienen der bargeldlosen Bezahlung von Waren und Dienstleistungen bei Vertragsunternehmen der

kartenherausgebenden Organisationen. Eine Kreditkarte weist einen mit dem Kartenherausgeber vereinbarten

Verfügungsrahmen auf. Im Unterschied zu einer Debitkarte erfolgt die Bezahlung für den Karteninhaber in der

Regel zeitlich verzögert (zu einem festgelegten Zeitpunkt) für alle zwischen zwei Abrechnungszyklen aufgelau-

fenen Beträge. Im Internet sind Kreditkartenzahlungen grundsätzlich allein durch Übermittlung der Kreditkar-

tennummer möglich. Allerdings setzt sich das akzeptierende Unternehmen dabei Betrugsrisiken aus, die durch

zusätzliche Maßnahmen verringert werden können.

MOTO

MOTO (Mail Order / Telephone Order) bezeichnet einen Teilbereich des Fernabsatzes, bei dem der Vertragsab-

schluss über Leistungen (Kauf- oder Dienstverträge) zwischen den beteiligten Parteien über Post, Fax, E-Mail

oder Telefon erfolgt.

Payment Service Provider

Ein Payment Service Provider (PSP) ist ein Unternehmen, das bei Kreditkartenzahlungen die technische Anbin-

dung des Händlers an den Acquirer realisiert und die einzelnen Transaktionen verarbeitet. Zunehmend bieten PSP

auch weitere, umfangreiche Zahlungsdienstleistungen an, wie etwa die Anbindung von bestehenden Online-Shops

zur elektronischen Abwicklung unterschiedlicher Zahlungstransaktionen, Authentifizierung von Verbrauchern,

Konto- bzw. Bonitätsüberprüfungen oder Abrechnungen.

PCI

Um Kreditkartendaten vor Missbrauch zu schützen, haben die Kreditkartenorganisationen einen gemeinsamen

Standard, den Payment Card Industry (PCI) Data Security Standard (PCI DSS), geschaffen. Dieses Regelwerk im

Zahlungsverkehr besteht aus einer Liste von Anforderungen an die Rechnernetze für alle Unternehmen, die Kre-

ditkartendaten verarbeiten, speichern oder weiterleiten (z. B. Händler, Acquirer oder sonstige Dienstleister).

PCI-Council

Das PCI-Council ist ein Rat (Gremium), der das Ziel hat, die umfassende Einhaltung der PCI-Sicherheitsrichtlinien

zu fördern, um damit alle Beteiligten der Zahlungskette beim Schutz der Kreditkartendaten zu unterstützen.

PIN (persönliche Identifikationsnummer)

Eine PIN (auch Geheimzahl) ist eine Zahl, von der in der Regel nur eine Person Kenntnis hat. Mit der PIN kann sich

diese Person gegenüber einer Maschine oder einem System authentifizieren.




Point of Sale (POS)

Der Ort, an dem die Kauf- bzw. Verkaufstransaktion abgewickelt wird, z. B. die Ladenkasse in einem Kaufhaus.

Qualified Security Assessor (QSA)

Ein QSA führt Security Audits durch, um einen Händler beim Umgang mit Kreditkartendaten zu bewerten. Die

Bewertung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt die

Durchführung der Security Audits ausschließlich den QSA.

Safe-Harbour-Lösung

Die Safe-Harbour-Lösung im PCI-Standard wurde seitens MasterCard und Visa ins Leben gerufen. Wenn ein

Händler PCI-zertifiziert bzw. PCI DSS-compliant (je nach Level-Einstufung) ist und dennoch Opfer einer Daten-

komprimittierung wird, können die Strafgebühren reduziert oder ganz erlassen werden.

Service-Code

Der Service-Code ist ein dreistelliger Zahlencode, der auf dem Magnetstreifen als auch im Chip der Karte gespei-

chert ist und dazu dient, dem Terminal die Eigenschaften der Karte anzuzeigen (z. B. international einsetzbare

Chipkarte, Autorisierung nur online möglich).

Security Audits

Ein Security Audit ist eine Sicherheitsprüfung, bei der eine Ortsbegehung beim Händler vorgenommen wird, die

auch die Besichtigung der Serverräume, Mitarbeiter-Interviews u. Ä. mit einschließt.

Security Scans

Security Scans haben das Ziel, Schwachstellen in Architektur und Konfiguration von Systemen aufzudecken. Die

Systeme werden dabei über das Internet netzseitig mit Hilfe von Security Scannern auf mögliche Schwächen hin

untersucht. Ist der Scan in Ordnung, wird seitens des Zertifizierers ein Zertifikat ausgestellt. Falls nicht, muss der

Kunde die Mängel beheben und einen sogenannten Rescan durchführen lassen.

Self Assessment Questionnaires (SAQ)

Self Assessment Questionnaires (SAQ) sind verschiedene Fragebögen, mit deren Hilfe ein Händler in eine be-

stimmte Händlerkategorie eingestuft wird, um die geforderten Maßnahmen zu PCI-Zertifizierung zu bestimmen.

Der Fragebogen wird jährlich aktualisiert. Gefragt wird hier nicht nur nach der Art der Verarbeitung von Kartenda-

ten, sondern auch nach allgemeinen Unternehmensinformationen, Verbindungen zu anderen Unternehmen und

technischen Details, die sich auf die Umsetzung der zwölf PCI-Anforderungen beziehen.




Terminal

Gerät, in der Regel mit Tastatur und Display, das die elektrische Versorgung und den Datenaustausch im bargeld-

losen Zahlungsverkehr ermöglicht.

Vertrauliche Identifizierungsdaten (Sensitive Authentication Data)

Vertrauliche Identifizierungsdaten sind Daten, mit denen Karteninhaber sich identifizieren und Kartentransakti-

onen autorisieren (z. B. die Kartenprüfnummer oder die Daten des Magnetstreifens). Diese dürfen nicht gespei-

chert werden.

Zertifizierung

Bei einer Zertifizierung prüft ein Zertifizierer die Einhaltung bestimmter Anforderungen zu einem bestimmten

Zeitpunkt und bescheinigt dies in der Regel mit der Ausstellung eines Zertifikats.




Über das E-Commerce-Special

Das E-Commerce-Special ist eine Informationsreihe, die über spezielle Themen zum Online-Handel berich-

tet. Die Inhalte werden von ibi research zusammen mit Experten aus der Praxis kostenlos zur Verfügung gestellt.

Damit werden die Themenschwerpunkte des E-Commerce-Leitfadens vertieft.

Der E-Commerce-LeitfadenDer Verkauf von Waren und Dienstleistungen über das Internet stellt eine zunehmend wichtiger werdende

Einnahmequelle für deutsche Unternehmen dar. In der Praxis zeigt sich jedoch, dass Unternehmen häufig mit

massiven Problemen zu kämpfen haben. Viele Unternehmen lassen sich dadurch von einem Engagement im In-

ternet abschrecken oder stellen ihre Aktivitäten entmutigt wieder ein.

Genau hier setzt der E-Commerce-Leitfaden an. Er gibt kompakt und aus einem Guss Antworten auf die wich-

tigsten Fragen rund um den elektronischen Handel.

Der Leitfaden behandelt folgende Themenschwer-

punkte:

Einstieg in den E-Commerce �

Erfolgskontrolle der Online-Aktivitäten �

Auswahl geeigneter Zahlungsverfahren �

Schutz vor Zahlungsstörungen �

Versand und Bestellabwicklung �

Erschließung ausländischer Märkte �

Verdeutlicht werden die Inhalte durch Experten-

Interviews, Fallbeispiele, Checklisten, Infoboxen,

Grafiken und Tabellen sowie ein umfangreiches

Glossar.

Begleitende Website mit weiteren Angeboten: www.ecommerce-leitfaden.de

E-Commerce-Newsletter �

Studien und Beiträge zu aktuellen Themen �

Anbieterverzeichnis �

Rechen-Tools �

Veranstaltungshinweise �

E-Commerce-Trends �




Partner des E-Commerce-LeitfadensDas Projekt E-Commerce-Leitfaden wird von den folgenden namhaften Lösungsanbietern aus dem E-Commerce-Bereich unterstützt.

PraxisbeispieleInfoboxen und Checklisten

Umfrageergebnisse




Atrada

Atrada bietet Handel und Herstellern hochskalierbare eCommerce Lösungen

und übernimmt dabei Verantwortung über die gesamte Wertschöpfungsket-

te hinweg.

Weitere Informationen: www.atrada.net �

atriga

atriga ist ein innovatives Inkassounternehmen und bietet ein umfassendes

Leistungs- und Informationsangebot für innovatives Forderungsmanage-

ment.

Weitere Informationen: www.atriga.de �

cateno

cateno entwickelt und vertreibt die Software-Lösungen ShopSync und Auc-

tionSync zur Automatisierung von warenwirtschaftlichen Prozessen.

Weitere Informationen: www.cateno.de �

ConCardis

ConCardis ist ein führender Anbieter im Bereich des bargeldosen Zahlungs-

verkehrs und bietet die gesamte Servicepalette für das Präsenz- und Fern-

absatzgeschäft.

Weitere Informationen: www.concardis.com �

creditPass

creditPass ermöglicht über nur eine Schnittstelle den direkten Zugriff auf

alle renommierten Auskunfteien und Auskunftsarten inklusive Abfrage- und

Entscheidungslogiken.

Weitere Informationen: www.creditpass.de �

etracker

etracker ist mit mehr als 65.000 Kunden ein führender Anbieter von Produk-

ten und Dienstleistungen zur Optimierung von Websites und Online-Marke-

ting-Kampagnen.

Weitere Informationen: www.etracker.com �




EURO-PRO Ges. für Data Processing mbH

EURO-PRO gehört heute zu den marktführenden Unternehmen im Bereich

von Ermittlungs- und Informationsdienstleistungen in Deutschland.

Weitere Informationen: www.europro.de, www.europro-bonitaet.de �

Hermes Logistik Gruppe Deutschland

Als Deutschlands größter postunabhängiger Consumer-Logistiker transpor-

tiert die Hermes Logistik Gruppe alles vom Brief über das Paket bis hin zu

Möbeln.

Weitere Informationen: www.hlg.de �

ibi research an der Universität Regensburg

ibi research an der Universität Regensburg forscht und berät zu Fragestel-

lungen rund um das Thema „Finanzdienstleistungen in der Informationsge-

sellschaft“.

Weitere Informationen: www.ibi.de, www.ecommerce-ostbayern.de �

mpass

mpass ist das komfortable und sichere Internet-Bezahlsystem der deutschen

Telekommunikationsunternehmen Vodafone und Telefónica O2.

Weitere Informationen: www.mpass.de �

Saferpay

Saferpay ist die umfassende E-Payment-Lösung, die speziell für den E-Com-

merce und Phone-Mailorder-Handel entwickelt wurde.

Weitere Informationen: www.saferpay.com �

xt:Commerce

xt:Commerce ist eine der führenden Open-Source-eCommerce-Lösungen

und bietet kostengünstig Software-Lösungen für das eBusiness an.

Weitere Informationen: www.xt-commerce.com �

SaferpayTM




Impressum

E-Commerce-SpecialPCI: Der erfolgreiche Umgang mit Kreditkartendaten

Marion Musch, Christoph Jung und Steffen Zückler,

ConCardis GmbH, Solmsstraße 4, 60486 Frankfurt am Main

ISBN 978-3-940416-14-8

ISSN 1869-1471

Herausgeber:

Thomas Krabichler, Dr. Ernst Stahl, Silke Weisheit, Georg Wittmann

Kontakt:

E-Commerce-Leitfaden

c/o ibi research an der Universität Regensburg GmbH

Regerstraße 4

93053 Regensburg

Telefon: 0941 943-1901

Telefax: 0941 943-1888

E-Mail: [email protected]

Web: www.ecommerce-leitfaden.de und www.ibi.de

Alle Rechte vorbehalten

© August 2009 ibi research an der Universität Regensburg GmbH, Regerstraße 4, 93053 Regensburg

© Fotos: Shutterstock, istockphoto.com und ibi research

Das vorliegende Werk einschließlich aller Teile ist urheberrechtlich geschützt und Eigentum der ibi research an

der Universität Regensburg GmbH. Verwertungen sind nur unter Angabe der vollständigen Quelle „E-Commerce-

Special Nr. 1 – PCI (www.ecommerce-leitfaden.de)“ zulässig. Das gilt insbesondere auch für Vervielfältigungen,

Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Bitte beachten Sie auch die rechtlichen Hinweise im Haftungsausschluss.




Haftungsausschluss

ibi research und ConCardis haben sich bemüht, richtige und vollständige Informationen zur Verfügung zu stel-

len. Alle Angaben wurden nach bestem Wissen und mit größtmöglicher Sorgfalt erstellt und überprüft. Dennoch

übernehmen ibi research und ConCardis keine Garantie oder Haftung für die Fehlerfreiheit, Genauigkeit, Aktua-

lität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen, Texte, Interviews, Checklisten, Übersich-

ten, Grafiken, Links und sonstige in diesem Werk enthaltene Elemente. Durch die Rundung einiger Umfragewerte

kommt es vereinzelt zu von 100 % abweichenden Gesamtsummen.

Interviews und Kommentare Dritter spiegeln deren Meinung wider und entsprechen nicht zwingend der Mei-

nung von ibi research und ConCardis. Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit, Wahrheitsgehalt und

Vollständigkeit der Ansichten Dritter können seitens ibi research und ConCardis nicht zugesichert werden.

Das Werk wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt

u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen

bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts.

Die Informationen Dritter, auf die Sie möglicherweise über die in diesem Werk enthaltenen Internet-Links

und sonstigen Quellenangaben zugreifen, unterliegen nicht dem Einfluss von ibi research und ConCardis. ibi re-

search und ConCardis unterstützen nicht die Nutzung von Internet-Seiten Dritter und Quellen Dritter und gibt

keinerlei Gewährleistungen oder Zusagen über Internet-Seiten Dritter oder Quellen Dritter ab.

Haftungsansprüche gegen ibi research und ConCardis, welche sich auf Schäden materieller oder ideeller Art

beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung feh-

lerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. Dies gilt u. a.

und uneingeschränkt für konkrete, besondere und mittelbare Schäden oder Folgeschäden, die aus der Nutzung

dieser Materialien entstehen können, sofern seitens ibi research und ConCardis kein nachweislich vorsätzliches

oder grob fahrlässiges Verschulden vorliegt.

Die in diesem Werk enthaltenen Texte zu rechtlichen und rechtsverwandten Themen dienen ausschließlich

der allgemeinen, grundsätzlichen Information und Weiterbildung. Sie stellen insbesondere keine Beratung im

Falle eines individuellen rechtlichen Anliegens dar. Die Autoren haben versucht, richtige und aktuelle Informati-

onen aufzubereiten. ibi research und ConCardis übernehmen keine Garantie oder Haftung für die Fehlerfreiheit,

Genauigkeit, Aktualität, Richtigkeit und Vollständigkeit dieser Informationen. Das Werk kann und will insbeson-

dere keine Rechtsberatung ersetzen. ibi research und ConCardis empfehlen deshalb grundsätzlich bei Fragen zu

Rechts- und Steuerthemen und rechtsverwandten Aspekten, sich an einen Anwalt oder an eine andere qualifizier-

te Beratungsstelle zu wenden.

Die Wiedergabe von Gebrauchsnamen, Warenbezeichnungen, Handelsnamen und dergleichen in diesem

Werk enthaltenen Namen berechtigt nicht zu der Annahme, dass solche Namen und Marken im Sinne der Waren-

zeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann genutzt werden

dürften. Vielmehr handelt es sich häufig um gesetzlich geschützte, eingetragene Warenzeichen, auch wenn sie

nicht als solche gekennzeichnet sind. Alle zitierten Marken-, Produkt- und Firmennamen sind das Alleineigentum

der jeweiligen Besitzer.

Infoanforderung

E-Commerce-Leitfaden

ibi research an der Universität Regensburg

Regerstraße 4

93053 Regensburg

FAX AN: 0941 / 94 31 888

Absender:

Firma:

Name:

Straße:

PLZ, Ort:

E-Mail:

Abteilung:

Telefon:

Fax:

Web:

E-Commerce-NewsletterBitte senden Sie mir regelmäßig den E-Commerce-Newsletter (14-tägig, kostenlos).

E-Commerce-Leitfaden als BuchBitte senden Sie mir den E-Commerce-Leitfaden als hochwertig gedrucktes Buch zum Preis

von 59,90 Euro (inkl. gesetzl. MwSt., versandkostenfrei, Hardcover, Farbdruck, A4-Format).

Informationen über die Partner des E-Commerce-LeitfadensBitte senden Sie mir kostenlos und unverbindlich weitere Informationen über:

Atrada EURO-PRO

atriga Hermes Logistik Gruppe

cateno ibi research an der Universität Regensburg

ConCardis mpass

creditPass Saferpay

etracker xt:Commerce

PCI Special

Documents

Transcript of PCI Special