Ab Oktober 2007 sind neue Regelungen bei Kreditkartentransaktionen für Shopbetreiber in Kraft. Diese Regelungen, die von der “Payment Card Industry” vorgeschrieben werden, stellen weitreichende Anforderungen in punkto Datenschutz und technische Sicherheit an Shopbetreiber. Bis Ende des Jahres läuft noch eine Übergangsfrist für Händler mit ein bis sechs Millionen Übertragungen jährlich.
Der Payment Card Industry Data Security Standard macht Online-Händlern Auflagen in sechs Kategorien:
- Aufbau und Wartung eines gesicherten Netzwerks
- Datenschutz
- Einsatz von Sicherheitslösungen
- Implementierung strenger Zugriffs-Kontrollmechanismen
- Überwachung des Netzwerkverkehrs
- Verbindliche Sicherheitspolicies
Weitere Details zu den Kriterien finden Sie im englischsprachigen Payment Card Industry Data Security Standard und bei der Computerwoche.
Unklar ist trotz der ambitionierten Fristen die konkrete Umsetzung. So hört man, dass selbst große US-Online-Shops noch Probleme mit der rechtzeitigen Umsetzung hätten. Wir werden weiter berichten.
Wird dies auch Händler betreffen, welche Transaktionen über einen Diensleister abwickeln und Daten selbst nicht speichern und auch beim Dienstleister keinen Zugriff auf diese haben?
Meines Wissens nach nicht, denn die Regelungen gelten für Unternehmen, die Kreditkartendaten speichern, übermitteln oder abwickeln. Wenn der Kreditkarteninhaber also Daten nicht bei Ihnen sondern direkt bei Ihrem Dienstleister eingibt, sollten Sie hiervon nicht betroffen sein.
Der Dienstleister (hier iPayment) erhält die Daten direkt aus einem Plugin für den Onlineshop heraus. Die Daten werden während des Bestellprozesses vom Kunden eingegeben und in einer Session temporär gespeichert. Beim abschließen der Bestellung werden die Kreditkartendaten dann verschlüsselt übermittelt.
Also ist man in einem solchen Fall wohl doch von den Änderungen betroffen?
Ich denke, ja. Sie könnten eine kurze Anfrage an iPayment senden. Die Antwort würde bestimmt auch andere Shopbetreiber interessieren – vielleicht können Sie uns die Rückmeldung mitteilen…
Antwort von iPayment:
“Der die PCI Richtlinien betreffen Sie als Händler wenn Sie Kartendaten
auf Ihrem Server verarbeiten und speichern. Das triff auch bereits zu,
wenn Ihr Shop Kartendaten vom Kunden entgegennimmt und diese in einer
Session speichert.”
Vielen Dank für die Information. Es ist also wie vermutet.
Hallo zusammen,
ich bin gerade dabei einen Webshop aufzubauen und möchte mich im Vorfeld darüber erkundigen welche Payment-Service-Provider bereits PCI-zertifiert sind. Gehören beispielsweise Saferpay und Payengine dazu?
Danke für die Information.
Gruß,
Martin
Folgende Antwort erreichte uns soeben von saferpay:
“Saferpay ist die PCI- und bankenzertifizierte E-Payment-Lösung der Telekurs Card Solutions. Für Internet-Händler gibt es in Zukunft keinen Grund mehr, in Ihren Systemen Kreditkartennummern zu speichern. Saferpay Secure Card Data übernimmt das für den Händler.
Warum PCI zertifizieren? Der Datendiebstahl über das Internet hat in den vergangenen Jahren zugenommen. Visa und MasterCard fordern daher mehr Datensicherheit im E-Commerce. Nicht zertifizierte Unternehmen können bei einem Datendiebstahl für den entstandenen Schaden haftbar gemacht werden.
Die Zertifizierung erfolgt durch akkreditierte Partner, abgestuft nach Höhe des Umsatzes eines Onlineshops und Anzahl der Transaktionen, die er verarbeitet.”
Ich hoffe, das hilft Ihnen schon einmal weiter. Viele Grüße!
Hallo,
bei ipayment gibt es eine Übersicht welcher Modus im Shopsystem eine Prüfung erforderlich macht und welcher nicht.
http://www.1und1.info/xml/order/WpIpaymentTechnik;jsessionid=1797FF566305A6224C2CCFA74281DC41.TC32b?__frame=_top&__lf=Static#2
Was mich bei unserem XT-C Shop zuerst verwirrt hatte war dass man dort die Daten in ein Formular des Shops eingibt.
Ich habe mir jetzt das Script angesehen und festgestellt dass das eine Anwendung im Silent-Modus ist. Ich habe auch extra nochmal bei iPayment angfragt ob da dann die Prüfung def. nicht notwendig ist. Die Daten werden ja im Shop und nicht auf der iPayment-Webseite eingeben.
Antwort:
die Daten werden wohl in einem Shopeigenen Formular eingegeben, aber
durch den form action Teil direkt an Ipayment gesendet. Somit werden die
Daten nicht auf Ihrem Server verarbeitet und daher ist auch beim
Silent-Modus keine PCI-Zertifizierung notwendig.
Man muss also schauen welcher Modus das entsprechende Script im Shop nutzt. Eventuell das Script mal mit dem Editor öffnen und ansehen, wenn Funktionen mit “silent” drinnen sind sollte es der Silent-Modus sein.
oder mal beim Shop-Anbieter anfragen wie das Script arbeitet.
Mit freundlichen Grüßen
Thomas Bastian
Hallo,
leider stimmt die Aussage vom iPayment-Support oben wohl jetzt doch nicht.
Soeben wurde eine Mail nachgereicht:
werden die Daten zwar per
Silent-Modus an ipayment gesendet, allerdings werden die Daten auf einer
anderen Seite davor eingegeben und erst einmal vom Shop verarbeitet.
Dies bedeutet, dass die aktuelle Integration, wie auch bei osCommerce,
nicht den PCI-Regeln entspricht.
Thomas Bastian