Online-Zahlungen: Neue Sicherheitsstandards ab 31. März

Betrügereien oder das Stehlen von Kontodaten beim Bezahlvorgang mit Kreditkarten sind im Online-Handel relevante Risiken. Online-Händler:innen, die Zahlungen über Kreditkarten im Shop abwickeln, müssen sich deshalb an grundlegende Datensicherheitsvorgaben halten.

Um sensible Zahlungsdaten zu schützen, definierten mehrere Anbieter – wie Visa, MasterCard oder American Express – schon im Jahr 2006 Sicherheitsvorgaben, weil der Online-Zahlungsverkehr stetig zunahm. Die Vorgaben dieses „Payment Card Industry Datensicherheitsstandards (PCI DSS)“ gelten für Unternehmen, die Kreditkartenzahlungen akzeptieren und somit die Daten von Karteninhaber:innen verarbeiten, speichern oder übertragen. Mit Ablauf dieses Monats werden nun neue Anforderungen verbindlich. 

Sicherheitsstandards der Kreditkartenindustrie für Online-Shops

Seit 2006 wird PCI-Standard stetig erweitert. Die letzte Änderung gab es im 1. April 2024, als die PCI-DSS-Version 3.2.1 von Version 4.0 abgelöst wurde. Für die vollständige Implementierung aller Anforderungen wurde noch eine Umsetzungsfrist bis zum 31. März 2025 gewährt. Zu den neuen Anforderungen zählen etwa eine mehrstufige Authentifizierung, Passwort-Spezifikationen, Schutzsoftware vor schädlichen Scripts oder auch Sicherheits-Scans. Die insgesamt komplexen Vorschriften stellt das PCI Council zur Verfügung.

Wenn Händler:innen gegen die Sicherheitsauflagen verstoßen, kann dies Sanktionen nach sich ziehen. Beispielsweise sind Bußgelder, auch wegen Datenschutzverstößen, möglich. Im schlimmsten Fall verlieren Händler:innen sogar die Möglichkeit zur Kreditkartenzahlung im Shop.

Wann brauchen Händler:innen eine PCI-Zertifizierung?  

Gerade kleinere Online-Shops stellen sich die Frage, inwieweit sie sich mit einer PCI-Zertifizierung befassen müssen. Dabei kommt es darauf an, ob und wie sie Kreditkartendaten im eigenen System oder auf eigenen Servern speichern und wie viele Transaktionen durchgeführt werden. Beteiligt an der Verarbeitung von Kreditkarteninformationen sind, neben den Online-Händler:innen selbst, die Acquirer – also zumeist Banken, die Händler:innen an das jeweilige Kartennetzwerk anbinden und die Karten abrechnen – sowie Payment-Dienstleister. Relevante Datenpunkte sind zudem das Zahlungsmodul auf der Webseite oder in der Shop-Software, die Shop-Software als solche und jeweils die Schnittstellen zum Payment-Dienst bzw. zur Bank.

Eine PCI-Zertifizierung ist immer dann nötig, sobald ein lokal ausgeführtes und selbst entwickeltes Check-out-Formular genutzt wird, wenn der Shop-Betreiber Kartendaten auf dem eigenen Server sichert oder wenn die genutzte Software für die Zahlungsabwicklung Daten in den Händler-Systemen speichert.

Können Shops ohne PCI-Zertifizierung Kreditkartenzahlungen abwickeln?

Nur, wenn an keiner Stelle im eigenen System oder bei Geschäftsprozessen Kreditkartendaten verarbeitet oder gespeichert werden, braucht es keine PCI-Zertifizierung. Das kann etwa der Fall sein, wenn nur Plug-ins von Dienstleistern oder den Banken genutzt werden. Dabei sollten die Händler:innen aber sicherstellen, dass Endkunden diese Daten nicht in den Plug-ins auf der Shop-Webseite, sondern direkt bei den Zahlungsabwicklern eingeben.

Wenn der komplette Zahlungsvorgang an einen Dienstleister auslagert wird, der eine PCI-DSS-Zertifizierung besitzt, ist die Zertifizierung für den Händler nicht nötig. Shop-Betreiber:innen sollten aber mit ihrem Zahlungsdienstleister Rücksprache halten, an welcher Stelle die Daten übergeben werden – und ob tatsächlich keine Daten im eigenen System landen. Andernfalls ist die Zertifizierung nötig.  

Auch Shopsystem-Anbieter können bei der sicheren Abwicklungen helfen. So ist beispielsweise Shopify nach eigenen Angaben als PCI-DSS-konform der Stufe 1 zertifiziert. Das Unternehmen erlaube damit auch Händler:innen, sowohl im Check-out als auch durch die Storefront-Architektur, die Einhaltung der Anforderungen.  

Artikelbild: http://www.depositphotos.com