Zahlungspartner
Versand
Buchhaltung
pci

PCI/CISP - was ist das und wie betrifft es Sie?

PCI, DSS und CISP sind die neuen Abkürzungen, die für Sie als kreditkartenakzeptierender Shop-Betreiber wichtig sind.

Erdacht von AMEX, MasterCard und VISA stehen diese Begriffe für ein Sicherheits-Regelwerk, das für Online- als auch Offline-Shopbesitzer immens wichtig ist, wenn sie vorhaben Kreditkarten zu akzeptieren. Large fines loom otherwise. Die ShopFactory eCommerce-Lösung macht es Ihnen einfach, diesen Bestimmungen zu entsprechen.

PCI- bzw. CISP-Sicherheitsstandards

Um Kreditkarten zu akzeptieren, zu übermitteln und zu verarbeiten müssen Sie und die benutzte Software PCI-/CISP-konform sein. Das ist nötig, wenn Sie online, am Telefon oder im Ladengeschäft Kreditkartenzahlungen anbieten wollen.

Diese Sicherheitsstandards wurden von den Kreditkartenfirmen initiiert, um den Diebstahl von Kreditkartennummern/daten zu reduzieren.
(PCI: https://www.pcisecuritystandards.org/ und CISP: http://usa.visa.com/merchants/risk_management/cisp_merchants.html)

Diese Regeln beschreiben wie Sie als Shop-Betreiber die Daten der Karten vor eventuellem Diebstahl zu schützen. Sie sind auf die Software, die Sie nutzen, auf den Server und auf Ihr Arbeitsumfeld im Büro anzuwenden.

Was müssen Sie tun?

Die Shop-Software

Der einfachste Weg den Bestimmungen zu entsprechen ist eine Software, die KEINE Kreditkartennummern verarbeitet, übermittelt oder speichert. ShopFactory ist dafür der ideale Partner.

Viele Shop-Software-Lösungen auf dem Markt sind mindestens in einem Punkt nicht regelkonform, wie z.B. die Übermittlung der Kreditkartennummer zur Überprüfung an einen Zahlungsdienstleister.
Besonders Open-Source-Programme scheitern daran.

Ist dies der Fall müssen Sie Ihren Shop auf einem PCI/CISP-konformen Server hosten und ebenso all den Richtlinien der Standards entsprechen. Ein grosses Unterfangen für ein kleines Unternehmen.

Manuelle Kreditkartentransaktionen

Wenn Sie Kreditkarten annehmen wollen, nutzen Sie bitte einen Serviceanbieter, der in Ihrem Auftrag Kreditkartendaten akzeptiert und in einer PCI-konformen Umfeld abspeichert. GlobeCharge wäre auch hier zu empfehlen. Auf diese Weise müssen nicht Sie die Daten übermitteln und/oder bearbeiten - die Pflicht umgehend, die Sicherheitsstandards zu erfüllen.

Zahlungstransaktionen in Echtzeit

Die sicherste Möglichkeit ist der Einsatz eines Echtzeit-Zahlungsdienstleisters, der in Ihrem Namen die Zahlungen per Kreditkarte entgegennimmt und verarbeitet. Ebenso hilfreich ist auch ein Bestellmanangement-Anbieter wie GlobeCharge. Auch hier haben Sie nichts mit den Daten zu tun: keine Übermittlung, keine Speicherung und keine Verarbeitung. Und Sie müssen sich nicht um die Einhaltung der Sicherheitsrichtlinien sorgen.

Wenn Sie viele Bestellungen erhalten, dann ist der Einsatz eines solchen Echtzeit-Zahlungsdienstleisters empfehlenswert um Ihr Prozesse effizienter zu gestalten. Viele dieser Anbieter nutzen zudem anspruchsvolle Kreditkartenbetrugserkennungsmethoden, um Sie vor Betrügern zu schützen, ausserdem ist das auch Ihre Aufgabe um den PCI-/CISP-Richtlinien zu entsprechen.

Bitte beachten Sie: Wenn Ihr Shop bei der Eingabe der Zahlungsdetails des Kunden im Hintergrund mit einem Echtzeit-Zahlungsdienstleisters verbunden ist, dann sind Sie in der Verantwortung den PCI-Standards folgezuleisten. Bedenken Sie das bitte bei der Wahl Ihrer Shop-Software.
Anders als ShopFactory, akzeptieren viele andere eCommerce-Lösungen Kreditkartendaten auf dem Server und leiten sie dann einen Zahlungsdienstleister weiter. Und somit sind Sie wieder am Zug die Richtlinien der Sicherheitsstandards einzuhalten.

Weitverbreitete Mißverständnisse

Es gibt viele Missverständnisse im Bezug auf die Einhaltung der PCI-Sicherheitsstandards. Die grösste falsche Auffassung ist, dass Sie sich nur mit den PCI-Standards befassen und ihnen entsprechen müssen, wenn Sie Kreditkartennummern abspeichern. Das ist falsch.

Viele Shop-Software-Pakete nehmen die Kreditkartendaten an und leiten sie an einen Zahlungsdienstleister weiter. Dieses Vorgehen fällt unter das Stichwort "Übermittlung". Sollte Ihre Shop-Software so vorgehen, dann muss nicht nur Ihr Server sondern auch Ihr Hosting-Provider PCI-konform sein.

Ein weiteres Missverständnis besagt, dass Server, die einen Sicherheits-Scan bei einem anerkannten Sicherheits-Service bestehen automatisch PCI-konform sind. Das ist auch falsch.

Der Sicherheits-Check ist nur ein Teil der PCI-Genehmigung. Wenn Ihre Hosting-Provider nicht konform sind, dann sind Sie es im Endeffekt auch nicht, ganz gleich, was der Sicherheits-Scan besagt. Zusätzlich müssen Sie die Punkte des geforderten, sog. PCI/CISP Aelf Assessment Questionnaire erfüllen, eine Art Selbstbewertung. Viele werden hier nicht durch einen anerkannten Scan geklärt.

Zusammenfassung

Bei der Nutzung einer Shopsoftware wie ShopFactory in Kombination mit einem Echtzeit-Zahlungsdienstleisters, der Kreditkartendaten auf seinem Server akzeptiert oder unter der Verwendung eines Bestellmanangement-Anbieters wie GlobeCharge, der ebenfalls Kreditkarten akzeptiert, sind Sie nicht in Übermittlung, Speicherung oder Verarbeitung der Kreditkartendaten involviert. Das macht das Arbeiten mit den Sicherheitsstandards für Sie weitaus einfacher.