PCI DSS Standard

Was ist PCI DSS?

Der PCI DSS ist ein verbindlicher Standard aller Kreditkartenorganisationen und dient dazu, kartenakzeptierende Unternehmen und Käufer vor Datendiebstahl zu schützen. Voraussetzung für eine effektive PCI-Compliance ist, dass die Einhaltung des PCI DSS in den AGB des Unternehmens verbindlich geregelt ist. Darüber hinaus muss regelmäßig der Nachweis erbracht werden, dass das Unternehmen weiterhin PCI-konform ist.

Die PCI-Sicherheitsstandards beruhen auf den jeweiligen Sicherheitsvorschriften der Kreditkartenorganisationen VISA, Mastercard, American Express, Discover und JCB. Alle Unternehmen, die Kreditkarten als Zahlungsmittel akzeptieren, sind von diesen Vorschriften betroffen. Es wird unterschieden zwischen:

• Große Händler und Dienstleistungsanbieter mit mehr als 6 Millionen Kreditkartentransaktionen pro Jahr
• Händler zwischen 20.000 und 6 Millionen Transaktionen
• E-Commerce-Händler mit weniger als 1 Million Transaktionen

Ein E-Commerce-Händler muss einen PCI DSS-zertifizierten Dienstleister mit der Transaktionsverarbeitung beauftragen, um PCI-konforme Zahlungstransaktionen anbieten zu können. Banken und Sparkassen bieten dazu auch Beratung und Unterstützung an und bieten oft eigene oder partnerschaftliche Händlerdienste an, um Schwachstellenanalysen oder Sicherheitsprüfungen vor Ort durchzuführen.

Es ist jedoch nur dann möglich, die Einhaltung des PCI DSS in den AGB zu erwähnen, wenn alle zwölf Anforderungen an das Computernetzwerk eines Unternehmens erfüllt sind.

Was sind die Anforderungen für die Einhaltung des PCI DSS?

Das PCI-Regelwerk, das jeder Händler oder Dienstleistungsanbieter einhalten muss, besteht aus zwölf verbindlichen Anforderungen:

• Installieren und regelmäßiges Aktualisieren der Firewall zum Schutz der Daten
• Ändern Sie regelmäßig die Systemkennwörter oder andere Sicherheitseinstellungen und verwenden Sie keine Standardkennwörter, wie sie von Lieferanten oder Herstellern bereitgestellt werden.
• Der Schutz der gespeicherten Daten von Kreditkarteninhabern hat höchste Priorität. Dazu gehört, dass sie nicht unnötig gespeichert werden (z. B. nur ein Teil der Kreditkartennummer und keine PINs oder Prüfcodes).
• Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzen
• Verwendung und regelmäßige Aktualisierung anerkannter Antiviren-Software
• Entwicklung und Einsatz von sicheren Systemen und Anwendungen
• Sicherstellung, dass der Datenzugriff nur auf geschäftliche Zwecke beschränkt ist
• Jede Person mit Computerzugang benötigt eine eigene Benutzer-ID
• Beschränkung des physischen Zugriffs auf Daten von Kreditkarteninhabern
• Aufzeichnung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Daten von Kreditkarteninhabern
• Regelmäßige Überprüfung aller Sicherheitssysteme und Prozessabläufe
• Festlegung und Einhaltung einer Unternehmenspolitik, die das Thema Informationssicherheit regelt

Das PCI Security Standards Council bietet ausführlichere Ressourcen zu diesem Thema.

Was bedeutet das für die Abonnementwirtschaft?

Neben digitalen Bezahlverfahren wie SEPA-Lastschrift, Paypal oder In-App-Purchase wird die Kreditkartenzahlung von Abo-Kunden in Deutschland mit einem Anteil von ca. 1,5 Prozent am häufigsten genutzt. 8 %, auch wenn ihr Anteil an den genutzten Zahlungsmitteln relativ gesehen sinkt (siehe auch Billwerk+ Whitepaper „Subscription Based Services„). Der PCI-Datensicherheitsstandard muss daher die Grundlage für jedes Abonnement-Geschäftsmodell sein, um eine vertrauensvolle Beziehung zu den Kunden zu erhalten. Das Besondere an abonnementbasierten Geschäftsmodellen ist der wiederkehrende und automatisierte Prozess, für den der Kunde einen Vertrag mit dem Unternehmen abgeschlossen hat.

So muss ein Abo-Anbieter einerseits eine komfortable Zahlungsabwicklung gewährleisten, die einem Abonnement gerecht wird, andererseits hat die Sicherheit der Daten des Kunden und damit die begrenzte Speicherung seiner Daten höchste Priorität.

Was sind die Vorteile von PCI DSS?

Ein Unternehmen, das PCI DSS-konforme Kreditkartenzahlungen anbietet, geht nicht nur einen enormen Vertrauensvorschuss bei potenziellen Kunden ein, sondern erschließt sich gleichzeitig den Markt der Kunden, die die Kreditkartenzahlung bevorzugen. So müssen sich z. B. Start-ups und Unternehmen in Gründung darüber im Klaren sein, dass die Zahlung per Kreditkarte nur dann als Option angeboten werden kann, wenn sie die PCI-Vorschriften einhalten. Was nach viel Bürokratie klingt, hat auch seine guten Seiten. Viele Dienstleister bieten ein Rundum-Sorglos-Paket an, bei dem die Zahlungsmethode Kreditkarte mit wenig technischem Know-how umgesetzt werden kann.

Schlussfolgerung: Zukunftssichere Sicherheitsnorm

Der PCI Data Security Standard ist ein weltweit anerkannter Schutz für Käufer und Verkäufer. Aufgrund ihrer Integrität und Verbreitung gibt es derzeit keinen Grund zu der Annahme, dass sich dies in absehbarer Zeit ändern wird. Was sich jedoch ändern wird, sind die Sicherheitsstandards selbst. Ständige Aktualisierungen, um den ständigen Bedrohungen von außen Rechnung zu tragen, sind daher unabdingbar. Die beschriebenen Regeln und Kontrollen müssen daher nicht nur eingeführt und ständig befolgt, sondern auch immer wieder zeitnah aktualisiert werden. Nur so können Kunden, aber auch das eigene Unternehmen, vor unerwünschten Zugriffen und kriminellen Handlungen geschützt werden.

Achten Sie daher bei der Auswahl einer Plattform zur Abonnementverwaltung und im Falle einer Eigenentwicklung auf die PCI DSS-Konformität des Anbieters/Entwicklers. Im Idealfall sollte dieser nach PCI DSS zertifiziert sein.