PCI 3.00 Änderungen
Am 1. Januar 2015 ist es soweit. Die neuen PCI Regularien treten in Kraft. Wenn Sie Kreditkarten in Ihrem Webshop speichern, übermitteln oder verarbeiten sind Sie gemäss den Bestimmungen der Kartenorganisationen (Visa, Master Card, etc.) verpflichtet, den Bestimmungen des Standards Folge zu leisten.
Was ist PCI-DSS?
PCI-DSS ist die Abkürzung für Payment Card Industry Data Security Standard. Der PCI Standard wurde erstmals am 15. Dezember 2004 ins Leben gerufen. Das Ziel des Standards ist, einfach gesagt, ein zusätzliches Sicherheitslevel einzuführen, um Kartendaten mit minimalen Sicherheitsstandards besser zu schützen.
Die Durchsetzung der PCI-DSS Standards wird nicht vom PCI-DSS Council selber verlangt, sondern ergibt sich aufgrund der Regelungen der Payment Schemes. Es sind somit die Vorschriften der einzelnen Brands zu beachten, welche Sie in Ihrem Shop anbieten. Für Master Card finden Sie diese beispielsweise hier (http://www.mastercard.com/us/company/en/whatwedo/determine_merchant.html). Für die Durchsetzung und Überwachung der Einhaltung der Regularien ist die Acquiring Bank verantwortlich. Wenn Sie nicht wissen, wer Ihre Acquiring Bank ist, kann Ihnen Ihr Payment Service Provider sicher weiterhelfen.
Zusammengefasst kann also gesagt werden, dass PCI entgegen vieler verbreiteter Mythen nicht etwas ist, das nur für grosse Händler relevant ist. Sobald Sie nämlich Kreditkarten verarbeiten, speichern oder übermitteln, fallen Sie in den Anwendungsbereich von PCI. In den meisten Fällen ist für Händler nur der Tatbestand des Übermittelns einschlägig. Für diesen Fall gilt gemäss den PCI Regularien ein vereinfachtes Verfahren. Das sogenannte Self-Assessment. Dieses bestand im alten PCI Standard aus 12 Fragen und war einschlägig, wenn Sie lediglich Kreditkartendaten übermittelt, aber nicht gespeichert haben. In diesem Fall erfolgte die Verarbeitung und Speicherung der Daten durch Ihren Payment Service Provider. Sie profitierten also von dessen Zertifizierung.
Wenn Sie Kreditkartendaten verarbeiten, haben Sie diesen Fragebogen bereits ausgefüllt. In diesem Fall sind Sie noch bis zum Ablauf der Gültigkeit Ihrer Level 4 (SAQ) Zertifizierung PCI compliant.
Das Thema PCI sollten Sie als Händler durchaus ernst nehmen. Im Falle eines Kartendiebstahls in Ihrem Shop bei fehlender PCI Compliance sind, neben dem schmerzlichen Reputationsverlust, Strafen zwischen 5'000 – 50’000 CHF möglich. Zudem verlieren Sie das Recht Kreditkarten weiter zu verarbeiten.
Was ändert sich mit der V. 3.00?
Mit der Einführung von PCI V. 3.00 im Januar werden zahlreiche Änderungen in der Art und Weise wie Sie Kreditkarten verarbeiten dürfen eingeführt. Am oben beschriebenen System ändert sich nichts Grundlegendes. Im Bereich des Self-Assessment Fragebogen gibt es aber eine wichtige Anpassung.
Neben dem bereits oben beschriebenen SAQ-A für Händler, welche lediglich Kreditkarten übermitteln, wurde neu das SAQ A-EP eingeführt. Das SAQ A-EP kommt immer dann zur Anwendung, wenn Sie folgende Bestimmung erfüllen:
„SAQ A-EP has been developed to address requirements applicable to e-commerce merchants with a website(s) that does not itself receive cardholder data but which does affect the security of the payment transaction and/or the integrity of the page that accepts the consumer’s cardholder data.
SAQ A-EP merchants are e-commerce merchants who partially outsource their e-commerce payment channel to PCI DSS validated third parties and do not electronically store, process, or transmit any cardholder data on their systems or premises.“ ( Seite III, Self-Assessment Questionnaire A-EP and Attestation of Compliance, zu finden unter: https://www.pcisecuritystandards.org/merchants/index.php).
Übersetzt bedeutet obige Passage, wenn Sie bis anhin die Kreditkarten auf Ihrer Seite entgegen nahmen (auch benannt als Alias Gateway oder Hidden Mode) oder auf der Seite für die Eingabe von Kreditkartendaten Elemente direkt von Ihrer Homepage eingebunden haben, fallen Sie neu unter das erweiterte Self-Assessment. Dieser Fragebogen besteht aus weit mehr als 12 Fragen und betrifft zahlreiche Sicherheitsanforderungen, welche Sie auf einem Standard Hosting nicht mehr erfüllen oder sicherstellen können. Aus diesem Grund dürfen die Optionen des Hidden Modes oder ähnlichem für viele Händler nicht mehr eingesetzt werden. Ab sofort dürfen Sie als SAQ-A Händler Karten nur noch im IFrame oder mit der Weiterleitung auf die Payment Page Ihres Payment Service Providers verarbeiten.
Was müssen Sie tun?
Obige Ausführungen sind für Sie nur relevant, wenn Sie sich als Neu-Händler für die Verarbeitung von Kreditkartendaten nach dem 1. Januar melden. In diesem Fall sind für Sie die Anforderungen von PCI 3.00 direkt zu befolgen. Wenn Sie bereits Kreditkarten verarbeiten, haben Sie noch Zeit bis Ihre PCI Level 4 Zertifizierung (ausgefülltes SAQ-A) ausläuft.
Wenn Sie ein Modul von sellXed einsetzen sind Sie bereits für die Umstellung gerüstet. Wir haben unsere Module entsprechend mit IFrame Autorisierung oder Payment Page Weiterleitung ausgestattet. Sie können im Modul ganz einfach die Autorisierungsmethode anpassen. Sie wechseln mit einem Klick von Hidden Autorisierung von Payment Page oder IFrame.
Bei Fragen zum Thema steht Ihnen unser Support gerne zur Verfügung (www.sellxed.com/support).