Neue Regelungen bei Kreditkartentransaktionen - Details und Tipps für Shops

Kreditkarten-ZahlungDer Datendiebstahl über das Internet hat in den vergangenen Jahren zugenommen. Visa und MasterCard fordern daher mehr Datensicherheit im E-Commerce. Aufgrund vieler Fragen zum Thema, hier ein Update zu den neuen Regelungen bei Kreditkarten-Zahlungen. Wir haben auch einen Tipp für Sie, wie Sie ohne großen Aufwand weiterhin sicher und offiziell die Zahlung per Kreditkarte anbieten können.

Lesen Sie Näheres zu den Regelungen und den Reaktionsmöglichkeiten.

Wie bereits hier erwähnt, gilt für kleinere Unternehmen die jährlich zwischen 1 bis 6 Millionen Kreditkartentransaktionen durchführen, noch eine Übergangsfrist bis zum 31.12. 2007. Unternehmen mit mehr Transaktionen, müssen sich bereits ab dem 30. September an die neuen Regelungen halten. Außerdem haben diese Unternehmen die Verpflichtung, ihr Netzwerk einmal pro Quartal überprüfen zu lassen.

Nicht zertifizierte Unternehmen können bei einem Datendiebstahl für den entstandenen Schaden haftbar gemacht werden. Die Zertifizierung erfolgt durch akkreditierte Partner, abgestuft nach Höhe des Umsatzes eines Onlineshops und Anzahl der Transaktionen, die er verarbeitet.

Wenn ein Missbrauch von Kreditkartendaten nachgewiesen werden kann, drohen umsatzabhängige Geldstrafen, Einschränkungen bis hin zum dauerhaften Ausschluss vom Kreditkartenprogramm bei den unterschiedlichen Kreditkartengesellschaften. Wichtig ist allerdings, dass erst im Missbrauchsfall Strafen zur Anwendung kommen. Die bloße Nichteinhaltung der 12 neuen Regelungen ist hiervon zunächst wohl nicht betroffen.

Die neuen Regelungen im Einzelnen:

  1. Installation und Pflege einer Firewall zur Absicherung aller Daten
  2. Kennwörter und andere Sicherheitseinstellungen müssen nach der Werksauslieferung geändert werden
  3. Sicherung der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer einmaligen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Kontinuierliche Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführung unternehmensweit einheitlicher Sicherheitsrichtlinien

Durch Fragen hier im Blog sind wir auf eine Möglichkeit gestoßen, wie man diese Anforderungen "auslagern" kann. Wenn Shopbetreiber die vollständige Kreditkartenzahlung durch einen zertifizierten Partner durchführen lassen und dabei keinen direkten Kontakt mit den Daten haben, gehen die 12 oben genannten Pflichten auf den Zahlungssystemanbieter über.

Ein solches Zahlungssystem ist z.B. Saferpay, eine PCI- und bankenzertifizierte E-Payment-Lösung der Telekurs Card Solutions. Für Internet-Händler gibt es dabei keinen Grund, im eigenen System Kreditkartennummern zu speichern. Saferpay Secure Card Data übernimmt das für den Händler. Weitere Informationen finden Sie direkt bei Saferpay.

02.11.07
Ulrich Hafenbradl

Ulrich Hafenbradl