PCI-DSS – Sicherheitsstandard für Kreditkartendaten
Hinter dem Kürzel PCI-DSS (Payment Card Industry Security Standard) verbirgt sich ein Sicherheitsstandard für Kreditkartendaten, der für sämtliche Einrichtungen, die Karteninhaberdaten verarbeiten oder Kreditkartendaten speichern, bindend ist. Diesen Datensicherheitsstandard haben American Express, Mastercard, Visa Inc., JCB International und Discover Financial Services entwickelt. Sein Ziel ist der Schutz von Online-Händlern und Endkunden vor betrügerischen Attacken, Kartenmissbrauch und Diebstahl.
Sicherheitslücken sollen durch die Einhaltung dieses Standards vermieden werden. Dabei handelt es sich nicht nur um eine empfohlene Organisationsstruktur für die Behandlung von sensiblen Karteninhaberdaten innerhalb des betreffenden Unternehmens, sondern auch um eine technische Spezifikation. Grundvoraussetzung für diesen Sicherheitsstandard ist, dass er von allen Parteien berücksichtigt wird, die an der Kreditkartentransaktion beteiligt sind. Allerdings kann für Online-Händler, die den teuren PCI-Zertifizierungsprozess vermeiden und Strafen für regelwidriges Verhalten umgehen wollen, die Lösung auch lauten, dass sie sich schlichtweg nicht an der Transaktion beteiligen.
Kriterien für die PCI-Zertifizierung
Um beurteilen zu können, wann eine PCI-Zertifizierung erforderlich ist, sollte man wissen, welche Parteien an einer Kreditkartentransaktion beteiligt sein können. Hierzu zählen neben dem Kreditkarteninhaber (also dem Kunden) der Online-Händler, der Acquirer (also die Bank, die für den Online-Händler die Kreditkarten abrechnet) sowie der Payment-Service-Anbieter (der Zahlungsabwickler). Darüber hinaus sind das Zahlungsmodul oder -Plugin in der Shop-Software, die Shop-Software an sich und die Schnittstelle zum Payment-Service-Provider beziehungsweise zur Bank involviert. Eine PCI-Zertifizierung ist immer dann erforderlich, wenn ein lokal ausgeführtes und selbst entwickeltes Checkout-Formular genutzt wird. Aber auch, wenn die Zusatzsoftware für die Zahlungsabwicklung, die der Onlineshop verwendet, die Kreditkartendaten auf dem eigenen Server entgegennimmt, ist eine PCI-Zertifizierung unumgänglich – z.B. eine Visa oder Mastercard PCI Compliance. Gleiches gilt für den Fall, wenn ein Shop-Betreiber die Karteninhaberdaten in den eigenen Systemen speichert.
Wie Online-Händler die PCI-Zertifizierung umgehen können
Vor allem kleine Shopbetreiber stellen sich vielfach die Frage, ob sie sich tatsächlich mit der PCI-Zertifizierung auseinandersetzen müssen oder ob dies nicht der Zahlungsanbieter übernimmt. Voraussetzung hierfür ist jedoch, dass an keiner Stelle im eigenen System Karteninhaberdaten oder Peripherie-Daten, wie etwa der dreistellige Sicherheitscode der Kreditkarte, verarbeitet oder gespeichert werden. Nur dann kann der Online-Händler die Pflicht zur PCI-Zertifizierung umgehen. Konkret bedeutet dies, dass er nur Plugins nutzt, die der Zahlungsanbieter beziehungsweise Acquirer bereitstellt. Online-Händler sollten sich zudem versichern, dass die Daten nicht in den Plugins entgegengenommen werden, sondern direkt vom Endkunden-Browser an das System des Zahlungsanbieters übertragen werden. Darüber hinaus dürfen keinerlei Kreditkartendaten intern gespeichert werden. Dies gilt auch für den Direkt- oder Telefonverkauf. Sollten bei händischen Transaktionen die entsprechenden Daten erforderlich sein, ist es ratsam, diese auszudrucken und aufzubewahren – und zwar nur bis zum Ablauf der Aufbewahrungsfrist.
Online-Händler können die PCI-Zertifizierung auch umgehen, indem sie den gesamten Zahlungsvorgang an einen Zahlungsabwickler abgeben, der über eine Zertifizierung gemäß PCI-DSS verfügt. Sollte keines dieser Kriterien vorliegen, der Online-Händler also die Karteninhaberdaten selbst verwalten bzw. Keditkartendaten speichern, ist die Durchführung einer PCI-Zertifizierung unumgänglich. Die Kosten für eine jährliche PCI-Zertifizierung nach Level 4 (niedrigstes Level) liegen im dreistelligen Bereich, wenn das betreffende Unternehmen nicht mehr als 20.000 Kreditkartentransaktionen im Jahr durchführt. Eine höherwertige Zertifizierung bis zu Level 1 ist bedeutend teurer. Die Richtlinien, die der PCI-Zertifizierung zugrunde liegen, werden jedes Jahr überprüft und erneuert.
Folgen einer fehlenden PCI-Zertifizierung
Unterlassen Online-Händler eine PCI-Zertifizierung, obwohl sie Karteninhaberdaten verarbeiten oder speichern, kann dies weitreichende Folgen haben. In der Regel wird die Nichteinhaltung dieser Richtlinien Strafzahlungen vonseiten des Acquirers nach sich ziehen. Darüber hinaus besteht jedoch die Gefahr, dass Online-Händler die Erlaubnis verlieren, Kreditkartenzahlung zu akzeptieren. In der Folge werden die betreffenden Online-Händler nie wieder Kartenzahlungen akzeptieren können, da voraussichtlich kein anderer Acquirer einen Akzeptanzvertrag unterschreiben wird. Die Auswahl beschränkt sich dann auf Zahlungsabwickler, die die Akzeptanz einer Kreditkartenzahlung auch ohne Acquiring-Vertrag ermöglichen. Allerdings ist diese Maßnahme eher der Ausnahmefall. Sollte in die Händler-Systeme eingebrochen worden sein und es lag keine PCI-Zertifizierung vor, wird zumeist die Auflage verhängt, dass sich der betreffende Händler der PCI-Zertifizierung nach Level 1 unterziehen muss. Die hierfür anfallenden Kosten können sich auf mehrere Tausend Euro belaufen und werden jedes Jahr aufs Neue fällig, da die eigenen Systeme ab diesem Zeitpunkt in regelmäßigen Abständen überprüft werden müssen.