PCI: Der richtige Umgang mit Kreditkartendaten

Transkript

1 E-COMMERCE-SPECIAL PRAXISWISSEN FÜR ONLINE-HÄNDLER PCI: Der richtige Umgang mit Kreditkartendaten E-COMMERCE-LEITFADEN E-Commerce-Special Nr. 1 ISBN:

2 Dieses E-Commerce-Special wird Ihnen zur Verfügung gestellt von Über ConCardis Die ConCardis GmbH in Frankfurt am Main ist eines der führenden Serviceunternehmen im Bereich des bargeldlosen Zahlungsverkehrs. Als Gemeinschaftsunternehmen der deutschen Kreditwirtschaft erbringt ConCardis für circa Akzeptanzstellen Serviceleistungen rund um das kartengestützte Bezahlen. Unternehmen, die Kredit- oder Debitkarten akzeptieren möchten, erhalten ein komplettes Lösungsangebot: vom Akzeptanzvertrag oder Terminal für das Präsenzgeschäft bis hin zu besonderen Dienstleistungen zur Optimierung der mit der Kartentransaktion verbundenen Abläufe. Darüber hinaus stellt ConCardis selbstverständlich auch eine große Auswahl an Bezahlverfahren für den E-Commerce und den Versandhandel zur Verfügung. Das Thema Sicherheit im bargeldlosen Zahlungsverkehr hat für ConCardis eine hohe Priorität sowohl im Präsenzgeschäft als auch im Bereich Fernabsatz. Nicht zuletzt aus diesem Grund nimmt das Unternehmen im Bereich der Sicherheitstechnologie eine Vorreiterrolle ein. Um der steigenden Nachfrage nach sicheren E-Commerce-Produkten gerecht zu werden, bietet ConCardis für interessierte Händler aus dem Bereich E-Commerce und Versandhandel eine eigene Payment-Software, die ConCardis PayEngine, an. In Kürze wird die ConCardis PCI-Plattform online gehen, auf der Händler umfassende Informationen über die einzuhaltenden Auskunfts- und Dokumentationsprozesse finden und sich gemäß den Vorgaben der Kartenorganisationen zertifizieren lassen können. Zusätzlich stehen kompetente Ansprechpartner telefonisch und per Mail bei Fragen zur Verfügung. ConCardis Kunden können sich kostenfrei registrieren. Weitere Informationen: 2

3 Inhalt 1. Einleitung Erste Schritte zur Compliance Wie funktioniert die Zertifizierung? Die zwölf Anforderungen von PCI Welche Daten dürfen gespeichert werden und welche nicht? Fragen und Antworten...9 Glossar...11 Über das E-Commerce-Special...15 Der E-Commerce-Leitfaden...15 Partner des E-Commerce-Leitfadens...16 Impressum...19 Haftungsausschluss...20 Infoanforderung...21 Abkürzungen ASV B2C C2C MOTO PA-DSS PCI (DSS) PIN POS PSP QSA ROI SAQ Approved Scanning Vendor Business-to-Consumer Consumer-to-Consumer Mail Order / Telephone Order Payment Application Data Security Standard Payment Card Industry (Data Security Standards) Persönliche Identifikationsnummer Point of Sale Payment Service Provider Qualified Security Assessor Return on Investment Self Assessment Questionnaire 3

4 Einleitung Der Missbrauch von gestohlenen Kreditkartendaten ist ein Thema, welches in regelmäßigen Abständen durch die Presse geht. Auch im Online- Handel kommen solche Betrügereien immer wieder vor, was zur Verunsicherung der Kunden und zu finanziellen Verlusten der Händler führt. Um das Vertrauen der Verbraucher in die Bezahlform Kreditkarte zu stärken und um den Händler zu schützen, haben die Kreditkartenorganisationen gemeinsame Sicherheitsstandards beim Umgang mit Karten- und Transaktionsdaten geschaffen. Die Payment Card Industry Data Security Standards, kurz PCI genannt, umfassen eine Reihe von verbindlichen Regeln für alle Parteien, die Kartendaten verarbeiten, speichern oder weiterleiten. Händler sind hier genauso mit eingeschlossen wie Acquirer, Payment Service Provider (PSP) oder Drittdienstleister. Leider werden diese Regeln nicht immer mit Begeisterung aufgenommen. Gerade große Unternehmen mit komplexen Kassensystemen beklagen den hohen technischen Aufwand und die Implementierungskosten, die mit einer PCI-konformen Ausrichtung ihrer EDV-Systeme verbunden sind. Eine Missachtung der PCI-Vorgaben kann bei Datenkompromittierung jedoch zu hohen Strafen der Kartenorganisationen führen, ganz zu schweigen von einer massiven Image-Schädigung. Der Vorwurf, dass PCI nicht anwenderfreundlich sei, kann auch aus dem Grund nicht gehalten werden, weil mittlerweile rund 500 Institutionen Mitglied im Beratergremium der Regelgeber sind. Die Mitgliedschaft steht jedem offen und wird bisher unter anderem von Hotelketten, Fluggesellschaften oder Software-Unternehmen wahrgenommen. Zusätzlich sind alle kartenakzeptierenden Unternehmen eingeladen, Verbesserungsvorschläge zu unterbreiten. Viele unternehmensseitige Anregungen wurden bereits in den Standard eingearbeitet. So stammt auch der Vorschlag der Einführung eines Gütesiegels aus dem großen Kreis der kartenakzeptierenden Händler. Diese Möglichkeit wird zurzeit noch vom Gremium diskutiert und würde einen weiteren Schritt bei der Schaffung von Kundenvertrauen bedeuten. Dabei sind die ersten Schritte in Richtung Sicherheit gar nicht so schwer. Die Installation einer Firewall auf dem Computer oder der Gebrauch einer auf dem aktuellen Stand gehaltenen Anti-Virus- Software sollten eigentlich eine Selbstverständlichkeit sein, sowohl bei der geschäftlichen als auch der privaten PC-Nutzung. Tipps zur Überprüfung von Kartendaten und zum Fernabsatz im Allgemeinen finden sich nicht nur im E-Commerce-Leitfaden, sondern auch an zahlreichen Stellen im Internet. Auch sind die mit dem Thema PCI vertrauten Zertifizierer immer gerne zur Auskunft bereit. 4

5 Erste Schritte zur Compliance Wie funktioniert die Zertifizierung? Grundsätzlich ist jedes Unternehmen, welches Kartendaten speichert, verarbeitet oder übermittelt, dazu verpflichtet, PCI-compliant zu sein, das heißt für die Sicherheit der Kartendaten zu sorgen. Der erste Schritt ist die Registrierung bei einem Zertifizierer wie beispielsweise usd ( SRC ( oder Acertigo ( acertigo.com). Als nächster Schritt steht eine Einstufung des Unternehmens und die Überprüfung der PCI-Compliance an. Hierzu stehen verschiedene Fragebögen zur Verfügung, die sogenannten Self Assessment Questionnaires (SAQ). Wichtig ist hierbei zu beachten, dass gemäß den Vorgaben jedes Jahr ein solcher Fragebogen ausgefüllt werden muss. Gefragt wird hier nicht nur nach der Art der Verarbeitung von Kartendaten, sondern auch nach allgemeinen Unternehmensinformationen, Verbindungen zu anderen Unternehmen und technischen Details, die sich auf die Umsetzung der zwölf PCI-Anforderungen (vgl. Infobox 3) beziehen. Die Daten werden dann vom Zertifizierer ausgewertet und der Händler erhält die Information, ob weitere Schritte eingeleitet werden müssen. SAQ-Übersicht Fragebogenart nach Händlertyp SAQ Card-not-present (E-Commerce / MOTO), alles outgesourct A Imprint-Händler, keine elektronische Datenspeicherung B Stand-alone Terminal, keine elektronische Datenspeicherung B POS-System mit Internet-Anbindung, keine elektronische Datenspeicherung C Alle anderen Händler und alle Service Provider D Infobox 1: Self Assessment Questionnaires (SAQ) Zur PCI-Zertifizierung werden bei Händlern aller Kategorien sogenannte Security Scans durchgeführt, welche das Ziel haben, Schwachstellen in Architektur und Konfiguration der untersuchten Systeme aufzudecken, die ein Angreifer ausnutzen könnte, um Kreditkartendaten zu kompromittieren. Die Systeme werden dabei über das Internet netzseitig mit Hilfe von Security Scannern untersucht. Die eingesetzten Werkzeuge prüfen auf bekannte Schwächen von Netzwerkkomponenten, Betriebssystemen und Applikationen. Der Scan erfolgt automatisch, der Kunde erhält einen Scanreport. Ist der Scan in Ordnung, wird seitens des Zertifizierers ein Zertifikat über die PCI-Compliance ausgestellt. Falls nicht, muss der Kunde die Mängel beheben und einen sogenannten Rescan durchführen lassen. Security Audits werden nur bei Händlern des Levels 1 (vgl. Infobox 2) zusätzlich zum Security Scan durchgeführt. Für diese Sicherheitsprüfung wird eine Ortsbegehung vorgenommen, die auch die Besichtigung der Serverräume, Mitarbeiter-Interviews u. Ä. mit einschließt. Die Bewertung des Händlerstatus darf ausschließlich durch akkreditierte Partner (Approved Scanning Vendor ASV bzw. Qualified Security Assessor QSA) durchgeführt werden. Die Durchführung der Scans obliegt ausschließlich den ASV, während die QSA für die Security Audits zuständig sind. Alle Zertifizierer müssen sich beim PCI- Council gesondert qualifizieren sowie Nachweise über regelmäßige Trainings erbringen. Eine aktuelle Liste der akkreditierten Partner kann bei den Kreditkartenorganisationen auf der Homepage oder unter folgendem Link abgerufen werden: asv_report.html. Wichtig: Lassen Sie Ihrem Acquirer immer Ihr neues Zertifikat zukommen, da er Ihre Compliance gegenüber den Kreditkartenorganisationen nachweisen muss! 5

6 Händlerkategorien bei MasterCard und Visa Hinweise: Acquirer können ihren Händlern zusätzliche Pflichten auferlegen. Für Händler, die Karten von American Express akzeptieren, gelten andere Kategorien. (siehe Händlerkategorie Self Assessment Security Scan Security Audit Level 1 > 6 Mio. Transaktionen p. a. mit MasterCard bzw. Visa über alle Vertriebskanäle (POS, E-Commerce, MOTO) Level 2 1 Mio. bis 6 Mio. Transaktionen p. a. mit MasterCard bzw. Visa über alle Vertriebskanäle (POS, E-Commerce, MOTO) Level bis 1 Mio. E-Commerce- Transaktionen p. a. mit MasterCard bzw. Visa Level 4 Alle anderen 4 x pro Jahr 1 x pro Jahr 1 x pro Jahr 4 x pro Jahr 1 x pro Jahr 1 1 x pro Jahr 4 x pro Jahr 1 x pro Jahr 2 4 x pro Jahr 3 1 ab Pflicht bei MasterCard 2 ab Pflicht bei Visa 3 verpflichtend nur für Händler mit SAQ C und D Infobox 2: Händlerkategorien bei MasterCard und Visa 6

7 Die zwölf Anforderungen von PCI Der PCI-Standard wurde durch den PCI Security Standards Council entwickelt. Bekannte Kreditkartenorganisationen und -herausgeber wie American Express, MasterCard, Visa oder JCB International sind maßgeblich daran beteiligt, die Sicherheit von Kartendaten auf globaler Ebene zu verbessern und so Händler und deren Kunden vor Zahlungsausfällen und Betrügereien zu schützen. Der Standard versucht, möglichst alle Aspekte im Bereich Kartenzahlung mit einzubeziehen. Die Netzwerkarchitektur der Unternehmen wird daher genauso betrachtet wie der Umgang mit kritischem Datenmaterial seitens der Mitarbeiter. In regelmäßigen Abständen werden die Vorgaben überarbeitet, um auf aktuelle Entwicklungen einzugehen und Erfahrungen der Händler mit einzubeziehen. Die aktuelle Fassung 1.2 ist seit Oktober 2008 gültig. Das Herzstück des PCI-Standards sind die im Folgenden aufgeführten zwölf Anforderungen: Die PCI-Anforderungen im Überblick Einrichtung und Instandhaltung der Firewall-Konfiguration zum Schutz der Daten Keine Verwendung der vom Händler ausgelieferten und voreingestellten System-Passwörter bzw. anderer Sicherheitsparameter Schutz der gespeicherten Daten Verschlüsselte Übertragung der Karteninhaberdaten und sensibler Informationen über öffentliche Netze Gebrauch und regelmäßige Aktualisierung der Anti-Viren-Programme Entwicklung und Aufrechterhaltung von sicheren Systemen und Anwendungen Beschränkung des Zugriffs auf die Daten nach dem need-to-know-prinzip Zuweisung von eindeutigen Kennungen an alle Personen mit Computer-Zugriff Einschränkung des physischen Zugangs zu Karteninhaberdaten Verfolgung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen sowie Karteninhaberdaten Regelmäßige Prüfungen der Sicherheitssysteme und -prozesse Aufrechterhaltung von Informationssicherheitspolitik Infobox 3: PCI-Anforderungen 7

8 Welche Daten dürfen gespeichert werden und welche nicht? Grundsätzlich gilt es, zwischen zwei Datenarten zu unterscheiden. Die sogenannten vertraulichen Identifizierungsdaten (Sensitive Authentication Data) dürfen nicht gespeichert werden. Es handelt sich hierbei um die Daten, mit denen Karteninhaber sich identifizieren und Kartentransaktionen autorisieren, wie zum Beispiel die Kartenprüfnummer oder die Daten des Magnetstreifens. Zu den Karteninhaberdaten (Card Holder Data) gehören der Name des Karteninhabers, die Kartennummer oder das Ablaufdatum der Karte. Diese Daten dürfen gespeichert werden, solange sie vor dem Zugriff Unbefugter geschützt sind. Hierzu ist eine Verschlüsselung oder eine Maskierung unerlässlich. Bei den heutigen technischen Möglichkeiten in unserer zunehmend international agierenden Welt wird es immer wichtiger, sich gegen Datenkompromittierung abzusichern. Der PCI-Standard ist ein großer und wichtiger Schritt in diese Richtung. Neben der eigenen Compliance sollte der Händler darauf achten, dass auch seine PSP und Drittdienstleister den PCI-Standards genügen. Langfristig wird damit das Vertrauen in den Online-Handel gestärkt, womit sowohl dem Händler als auch dem Kunden gedient ist. Sicherheitsanforderungen bei der Datenspeicherung Datenart Speicherung erlaubt? Verschlüsselung vorgeschrieben? Kartennummer ja ja Gültigkeit ja nein Service-Code ja nein Name des Karteninhabers ja nein Magnetstreifendaten Kartenprüfnummer PIN nein nein nein nicht notwendig, da Speicherung nicht erlaubt nicht notwendig, da Speicherung nicht erlaubt nicht notwendig, da Speicherung nicht erlaubt Infobox 4: Sicherheitsanforderungen bei der Datenspeicherung 8

9 Fragen und Antworten Welche Vorteile hat die Umsetzung der PCI- Vorgaben? Mit PCI haben es Betrüger schwerer, Kartendaten zu kompromittieren. Für die Kunden bedeutet dies erhöhte Datensicherheit und Vertrauen, was den Umsatz steigern kann und das Image des Unternehmens schützt und verbessert. Der Händler ist stärker abgesichert vor finanziellen Schäden und Schadenersatzforderungen. Datenminimierung und -vermeidung führen nicht nur zur Reduzierung des Unternehmensrisikos, sondern auch zu Kostenreduzierung. Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS? Wird der PCI DSS nicht eingehalten, d. h. lassen sich die Händler nicht gemäß den PCI-Vorgaben zertifizieren und kommt es später zu einem Diebstahl von Kartendaten aus dem System des Händlers, drohen schwerwiegende Konsequenzen. Betroffene Unternehmen müssen damit rechnen, dass sie von ihrem Acquirer für Strafzahlungen seitens der Kartenorganisationen in Regress genommen werden. Tritt bei einem Händler oder Dienstleister der Level 2 bis 4 ein Datendiebstahl auf, wird er auf Level 1 hochgestuft. Eine Einordnung in diese Kategorie ist mit höheren Kosten verbunden, da umfassendere Compliance-Prüfungen erforderlich werden. Zusätzlich kann ein bekannt gewordener Datendiebstahl das Ansehen eines Unternehmens nachhaltig schädigen und ein Verlust von Kundenvertrauen zur Folge haben mit entsprechendem Geschäftsverlust. Bin ich automatisch compliant, wenn ich eine Payment-Software nutze? Nein, leider nicht. Es gibt eine ganze Reihe von Lösungen verschiedener Software-Hersteller bis hin zur Open-Source-Software, die über das Internet frei verfügbar ist. Diese Applikationen können Kartendaten speichern oder auch nur weiterleiten. Eine Regelkonformität ist nur dann gegeben, wenn eine sogenannte PA-DSS-Software (Payment Application Data Security Standard) wie z. B. die ConCardis Pay- Engine genutzt wird und alle involvierten Parteien (PSP, Drittdienstleister) PCI-compliant sind oder nicht mit den Kartendaten in Berührung kommen. Unabhängig jedoch von der verwendeten Software muss der Händler immer den Self-Assessment- Fragebogen (SAQ) ausfüllen und ggf. einen Scan durchführen lassen. Was ist die Safe-Harbour-Lösung? Die Safe-Harbour-Lösung wurde seitens MasterCard und Visa ins Leben gerufen. Wenn ein Händler PCI-zertifiziert bzw. PCI DSS-compliant (je nach Level-Einstufung) ist und dennoch Opfer einer Datenkomprimittierung wird, können die Strafgebühren reduziert oder ganz erlassen werden. Welche Verpflichtungen bestehen für die Acquirer oder Händlerbanken? Die Acquirer oder Händlerbanken haben die PCI-Vorgaben ebenfalls einzuhalten. Darüber hinaus müssen sie die Einhaltung der Regeln für ihre Händler und ggf. kooperierenden Dienstleister, die für sie Daten speichern und / oder verarbeiten, sicherstellen und in regelmäßigen Abständen nachweisen. 9

10 Mit welchem Zeitaufwand ist die Umsetzung des PCI-Standards verbunden? Es gibt keine pauschalen Richtwerte für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS, da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung unterschiedlich verläuft. Bezieht sich PCI nur auf die elektronische Speicherung und Weiterleitung von Daten oder sind auch Papier, Brief und Fax mit eingeschlossen? Unabhängig vom Medium sind Kartendaten immer der Gefahr von Diebstahl ausgesetzt. Daher müssen sowohl Computer, s oder auch ausgedruckte Unterlagen vor unbefugtem Zugriff geschützt werden. Die Kartennummer ist möglichst zu anonymisieren (d. h. auszuixen ), zu verschlüsseln und sicher zu verwahren (Tresor). Im Falle eines Transports sind sie per Kurier zu versenden, da hier eine Rückverfolgung möglich ist. Nicht mehr benötigte Daten müssen sorgfältig vernichtet werden (z. B. Partikelschnitt bei Aktenvernichter). Weiterführende Informationen sicherheit-im-e-commerce/pcisdpais.html Infobox 5: Weiterführende Informationen 10

11 Glossar Acquirer Ein Acquirer ist die kreditkartenbetreuende Stelle des Händlers. Er wickelt für den Händler die Autorisierung und Abrechnung bei Kreditkartenzahlungen ab. Des Weiteren akquiriert er Akzeptanzstellen für Kreditkartenzahlungen (z. B. aus Handel, Hotellerie, Gastronomie, Autovermietung, Fluggesellschaften). Um tätig zu werden, benötigt ein Acquirer von der entsprechenden Kartenorganisation eine Lizenz. Approved Scanning Vendor (ASV) Ein ASV führt Security Scans durch, um mögliche Schwachstellen im System eines Händlers aufzudecken. Die Untersuchung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt die Durchführung der Security Scans ausschließlich den ASV. Compliance Als Compliance bezeichnet man das Befolgen von Gesetzen, Richtlinien und Vorgaben. Debitkarte Zahlungskarte, die einen Verfügungsrahmen aufweist und mit der ein Karteninhaber Waren oder Dienstleistungen an einer elektronischen Kasse bezahlen kann. Bei Zahlung mit einer Debitkarte wird das Konto des Kunden in der Regel bereits nach einigen Werktagen direkt mit dem Zahlungsbetrag belastet. Imprinter Ein Umdrucker (ugs. Ritsch-Ratsch-Gerät ) wird dazu verwendet, die auf einer Karte hochgeprägten Daten auf ein Abrechnungsformular zu übertragen. Kartenprüfnummer Die Kartenprüfnummer ist als zusätzliches Sicherheitsmerkmal auf der Kreditkarte aufgedruckt und muss häufig bei Transaktionen, bei denen der Karteninhaber nicht physisch anwesend ist (Bestellungen per Fax, Telefon oder Internet), neben der eigentlichen Kreditkartennummer angegeben werden. Somit soll sichergestellt werden, dass eine Kreditkartenzahlung nur vom tatsächlichen Besitzer der Karte initiiert werden kann. Kompromittierung Kompromittierung im technischen Sinn bezeichnet die Manipulation, den Diebstahl oder den Verlust der Verfügungsgewalt von Daten bzw. Systemen zur missbräuchlichen Nutzung durch Angreifer. 11

12 Karteninhaberdaten (Card Holder Data) Zu den Karteninhaberdaten gehören der Name des Karteninhabers, die Kartennummer oder das Ablaufdatum der Karte. Kreditkarte Kreditkarten dienen der bargeldlosen Bezahlung von Waren und Dienstleistungen bei Vertragsunternehmen der kartenherausgebenden Organisationen. Eine Kreditkarte weist einen mit dem Kartenherausgeber vereinbarten Verfügungsrahmen auf. Im Unterschied zu einer Debitkarte erfolgt die Bezahlung für den Karteninhaber in der Regel zeitlich verzögert (zu einem festgelegten Zeitpunkt) für alle zwischen zwei Abrechnungszyklen aufgelaufenen Beträge. Im Internet sind Kreditkartenzahlungen grundsätzlich allein durch Übermittlung der Kreditkartennummer möglich. Allerdings setzt sich das akzeptierende Unternehmen dabei Betrugsrisiken aus, die durch zusätzliche Maßnahmen verringert werden können. MOTO MOTO (Mail Order / Telephone Order) bezeichnet einen Teilbereich des Fernabsatzes, bei dem der Vertragsabschluss über Leistungen (Kauf- oder Dienstverträge) zwischen den beteiligten Parteien über Post, Fax, oder Telefon erfolgt. Payment Service Provider Ein Payment Service Provider (PSP) ist ein Unternehmen, das bei Kreditkartenzahlungen die technische Anbindung des Händlers an den Acquirer realisiert und die einzelnen Transaktionen verarbeitet. Zunehmend bieten PSP auch weitere, umfangreiche Zahlungsdienstleistungen an, wie etwa die Anbindung von bestehenden Online-Shops zur elektronischen Abwicklung unterschiedlicher Zahlungstransaktionen, Authentifizierung von Verbrauchern, Konto- bzw. Bonitätsüberprüfungen oder Abrechnungen. PCI Um Kreditkartendaten vor Missbrauch zu schützen, haben die Kreditkartenorganisationen einen gemeinsamen Standard, den Payment Card Industry (PCI) Data Security Standard (PCI DSS), geschaffen. Dieses Regelwerk im Zahlungsverkehr besteht aus einer Liste von Anforderungen an die Rechnernetze für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten (z. B. Händler, Acquirer oder sonstige Dienstleister). PCI-Council Das PCI-Council ist ein Rat (Gremium), der das Ziel hat, die umfassende Einhaltung der PCI-Sicherheitsrichtlinien zu fördern, um damit alle Beteiligten der Zahlungskette beim Schutz der Kreditkartendaten zu unterstützen. PIN (persönliche Identifikationsnummer) Eine PIN (auch Geheimzahl) ist eine Zahl, von der in der Regel nur eine Person Kenntnis hat. Mit der PIN kann sich diese Person gegenüber einer Maschine oder einem System authentifizieren. 12

13 Point of Sale (POS) Der Ort, an dem die Kauf- bzw. Verkaufstransaktion abgewickelt wird, z. B. die Ladenkasse in einem Kaufhaus. Qualified Security Assessor (QSA) Ein QSA führt Security Audits durch, um einen Händler beim Umgang mit Kreditkartendaten zu bewerten. Die Bewertung darf ausschließlich durch akkreditierte Partner (Zertifizierer) durchgeführt werden. Dabei obliegt die Durchführung der Security Audits ausschließlich den QSA. Safe-Harbour-Lösung Die Safe-Harbour-Lösung im PCI-Standard wurde seitens MasterCard und Visa ins Leben gerufen. Wenn ein Händler PCI-zertifiziert bzw. PCI DSS-compliant (je nach Level-Einstufung) ist und dennoch Opfer einer Datenkomprimittierung wird, können die Strafgebühren reduziert oder ganz erlassen werden. Service-Code Der Service-Code ist ein dreistelliger Zahlencode, der auf dem Magnetstreifen als auch im Chip der Karte gespeichert ist und dazu dient, dem Terminal die Eigenschaften der Karte anzuzeigen (z. B. international einsetzbare Chipkarte, Autorisierung nur online möglich). Security Audits Ein Security Audit ist eine Sicherheitsprüfung, bei der eine Ortsbegehung beim Händler vorgenommen wird, die auch die Besichtigung der Serverräume, Mitarbeiter-Interviews u. Ä. mit einschließt. Security Scans Security Scans haben das Ziel, Schwachstellen in Architektur und Konfiguration von Systemen aufzudecken. Die Systeme werden dabei über das Internet netzseitig mit Hilfe von Security Scannern auf mögliche Schwächen hin untersucht. Ist der Scan in Ordnung, wird seitens des Zertifizierers ein Zertifikat ausgestellt. Falls nicht, muss der Kunde die Mängel beheben und einen sogenannten Rescan durchführen lassen. Self Assessment Questionnaires (SAQ) Self Assessment Questionnaires (SAQ) sind verschiedene Fragebögen, mit deren Hilfe ein Händler in eine bestimmte Händlerkategorie eingestuft wird, um die geforderten Maßnahmen zu PCI-Zertifizierung zu bestimmen. Der Fragebogen wird jährlich aktualisiert. Gefragt wird hier nicht nur nach der Art der Verarbeitung von Kartendaten, sondern auch nach allgemeinen Unternehmensinformationen, Verbindungen zu anderen Unternehmen und technischen Details, die sich auf die Umsetzung der zwölf PCI-Anforderungen beziehen. 13

14 Terminal Gerät, in der Regel mit Tastatur und Display, das die elektrische Versorgung und den Datenaustausch im bargeldlosen Zahlungsverkehr ermöglicht. Vertrauliche Identifizierungsdaten (Sensitive Authentication Data) Vertrauliche Identifizierungsdaten sind Daten, mit denen Karteninhaber sich identifizieren und Kartentransaktionen autorisieren (z. B. die Kartenprüfnummer oder die Daten des Magnetstreifens). Diese dürfen nicht gespeichert werden. Zertifizierung Bei einer Zertifizierung prüft ein Zertifizierer die Einhaltung bestimmter Anforderungen zu einem bestimmten Zeitpunkt und bescheinigt dies in der Regel mit der Ausstellung eines Zertifikats. 14

15 Über das E-Commerce-Special Das E-Commerce-Special ist eine Informationsreihe, die über spezielle Themen zum Online-Handel berichtet. Die Inhalte werden von ibi research zusammen mit Experten aus der Praxis kostenlos zur Verfügung gestellt. Damit werden die Themenschwerpunkte des E-Commerce-Leitfadens vertieft. Der E-Commerce-Leitfaden Der Verkauf von Waren und Dienstleistungen über das Internet stellt eine zunehmend wichtiger werdende Einnahmequelle für deutsche Unternehmen dar. In der Praxis zeigt sich jedoch, dass Unternehmen häufig mit massiven Problemen zu kämpfen haben. Viele Unternehmen lassen sich dadurch von einem Engagement im Internet abschrecken oder stellen ihre Aktivitäten entmutigt wieder ein. Genau hier setzt der E-Commerce-Leitfaden an. Er gibt kompakt und aus einem Guss Antworten auf die wichtigsten Fragen rund um den elektronischen Handel. Der Leitfaden behandelt folgende Themenschwerpunkte: Einstieg in den E-Commerce Erfolgskontrolle der Online-Aktivitäten Auswahl geeigneter Zahlungsverfahren Schutz vor Zahlungsstörungen Versand und Bestellabwicklung Erschließung ausländischer Märkte Verdeutlicht werden die Inhalte durch Experten- Interviews, Fallbeispiele, Checklisten, Infoboxen, Grafiken und Tabellen sowie ein umfangreiches Glossar. Begleitende Website mit weiteren Angeboten: E-Commerce-Newsletter Studien und Beiträge zu aktuellen Themen Anbieterverzeichnis Rechen-Tools Veranstaltungshinweise E-Commerce-Trends 15

16 Partner des E-Commerce-Leitfadens Das Projekt E-Commerce-Leitfaden wird von den folgenden namhaften Lösungsanbietern aus dem E-Commerce-Bereich unterstützt. Praxisbeispiele Infoboxen und Checklisten Umfrageergebnisse 16

17 Atrada Atrada bietet Handel und Herstellern hochskalierbare Lösungen und übernimmt dabei Verantwortung über die gesamte Wertschöpfungskette hinweg. Weitere Informationen: atriga atriga ist ein innovatives Inkassounternehmen und bietet ein umfassendes Leistungs- und Informationsangebot für innovatives Forderungsmanagement. Weitere Informationen: cateno cateno entwickelt und vertreibt die Software-Lösungen ShopSync und AuctionSync zur Automatisierung von warenwirtschaftlichen Prozessen. Weitere Informationen: ConCardis ConCardis ist ein führender Anbieter im Bereich des bargeldosen Zahlungsverkehrs und bietet die gesamte Servicepalette für das Präsenz- und Fernabsatzgeschäft. Weitere Informationen: creditpass creditpass ermöglicht über nur eine Schnittstelle den direkten Zugriff auf alle renommierten Auskunfteien und Auskunftsarten inklusive Abfrage- und Entscheidungslogiken. Weitere Informationen: etracker etracker ist mit mehr als Kunden ein führender Anbieter von Produkten und Dienstleistungen zur Optimierung von Websites und Online-Marketing-Kampagnen. Weitere Informationen:

18 EURO-PRO Ges. für Data Processing mbh EURO-PRO gehört heute zu den marktführenden Unternehmen im Bereich von Ermittlungs- und Informationsdienstleistungen in Deutschland. Weitere Informationen: Hermes Logistik Gruppe Deutschland Als Deutschlands größter postunabhängiger Consumer-Logistiker transportiert die Hermes Logistik Gruppe alles vom Brief über das Paket bis hin zu Möbeln. Weitere Informationen: ibi research an der Universität Regensburg ibi research an der Universität Regensburg forscht und berät zu Fragestellungen rund um das Thema Finanzdienstleistungen in der Informationsgesellschaft. Weitere Informationen: mpass mpass ist das komfortable und sichere Internet-Bezahlsystem der deutschen Telekommunikationsunternehmen Vodafone und Telefónica O 2. Weitere Informationen: Saferpay Saferpay ist die umfassende E-Payment-Lösung, die speziell für den E-Commerce und Phon order-Handel entwickelt wurde. Saferpay TM Weitere Informationen: xt:commerce xt:commerce ist eine der führenden Open-Source--Lösungen und bietet kostengünstig Software-Lösungen für das ebusiness an. Weitere Informationen:

19 Impressum E-Commerce-Special PCI: Der erfolgreiche Umgang mit Kreditkartendaten Marion Musch, Christoph Jung und Steffen Zückler, ConCardis GmbH, Solmsstraße 4, Frankfurt am Main ISBN Herausgeber: Thomas Krabichler, Dr. Ernst Stahl, Silke Weisheit, Georg Wittmann Kontakt: E-Commerce-Leitfaden c/o ibi research an der Universität Regensburg GmbH Regerstraße Regensburg Telefon: Telefax: team@ecommerce-leitfaden.de Web: und Alle Rechte vorbehalten August 2009 ibi research an der Universität Regensburg GmbH, Regerstraße 4, Regensburg Fotos: Shutterstock, istockphoto.com und ibi research Das vorliegende Werk einschließlich aller Teile ist urheberrechtlich geschützt und Eigentum der ibi research an der Universität Regensburg GmbH. Verwertungen sind nur unter Angabe der vollständigen Quelle E-Commerce- Special Nr. 1 PCI ( zulässig. Das gilt insbesondere auch für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Bitte beachten Sie auch die rechtlichen Hinweise im Haftungsausschluss. 19

20 Haftungsausschluss ibi research und ConCardis haben sich bemüht, richtige und vollständige Informationen zur Verfügung zu stellen. Alle Angaben wurden nach bestem Wissen und mit größtmöglicher Sorgfalt erstellt und überprüft. Dennoch übernehmen ibi research und ConCardis keine Garantie oder Haftung für die Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen, Texte, Interviews, Checklisten, Übersichten, Grafiken, Links und sonstige in diesem Werk enthaltene Elemente. Durch die Rundung einiger Umfragewerte kommt es vereinzelt zu von 100 % abweichenden Gesamtsummen. Interviews und Kommentare Dritter spiegeln deren Meinung wider und entsprechen nicht zwingend der Meinung von ibi research und ConCardis. Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit, Wahrheitsgehalt und Vollständigkeit der Ansichten Dritter können seitens ibi research und ConCardis nicht zugesichert werden. Das Werk wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts. Die Informationen Dritter, auf die Sie möglicherweise über die in diesem Werk enthaltenen Internet-Links und sonstigen Quellenangaben zugreifen, unterliegen nicht dem Einfluss von ibi research und ConCardis. ibi research und ConCardis unterstützen nicht die Nutzung von Internet-Seiten Dritter und Quellen Dritter und gibt keinerlei Gewährleistungen oder Zusagen über Internet-Seiten Dritter oder Quellen Dritter ab. Haftungsansprüche gegen ibi research und ConCardis, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. Dies gilt u. a. und uneingeschränkt für konkrete, besondere und mittelbare Schäden oder Folgeschäden, die aus der Nutzung dieser Materialien entstehen können, sofern seitens ibi research und ConCardis kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Die in diesem Werk enthaltenen Texte zu rechtlichen und rechtsverwandten Themen dienen ausschließlich der allgemeinen, grundsätzlichen Information und Weiterbildung. Sie stellen insbesondere keine Beratung im Falle eines individuellen rechtlichen Anliegens dar. Die Autoren haben versucht, richtige und aktuelle Informationen aufzubereiten. ibi research und ConCardis übernehmen keine Garantie oder Haftung für die Fehlerfreiheit, Genauigkeit, Aktualität, Richtigkeit und Vollständigkeit dieser Informationen. Das Werk kann und will insbesondere keine Rechtsberatung ersetzen. ibi research und ConCardis empfehlen deshalb grundsätzlich bei Fragen zu Rechts- und Steuerthemen und rechtsverwandten Aspekten, sich an einen Anwalt oder an eine andere qualifizierte Beratungsstelle zu wenden. Die Wiedergabe von Gebrauchsnamen, Warenbezeichnungen, Handelsnamen und dergleichen in diesem Werk enthaltenen Namen berechtigt nicht zu der Annahme, dass solche Namen und Marken im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann genutzt werden dürften. Vielmehr handelt es sich häufig um gesetzlich geschützte, eingetragene Warenzeichen, auch wenn sie nicht als solche gekennzeichnet sind. Alle zitierten Marken-, Produkt- und Firmennamen sind das Alleineigentum der jeweiligen Besitzer. 20