PCI/CISP - was ist das und wie betrifft es Sie?

PCI, DSS und CISP sind die neuen Abkürzungen, die für Sie als Shop-Betreiber wichtig sind, wenn Sie Kreditkarten akzeptieren.

Erdacht von AMEX, MasterCard und VISA stehen diese Begriffe für ein Sicherheits-Regelwerk, das für Online- als auch Offline-Shopbesitzer immens wichtig ist, wenn sie vorhaben Kreditkarten zu akzeptieren.  Die ShopFactory eCommerce-Lösung macht es Ihnen einfach, diesen Bestimmungen zu entsprechen.

 

Erdacht von AMEX, MasterCard und VISA stehen diese Begriffe für ein Regelwerk, das für Online- als auch Offline-Shopbesitzer immens wichtig ist, wenn sie vorhaben Kreditkarten zu akzeptieren. Ansonsten können hohe Strafen auf Sie zukommen . 

Die ShopFactory E-Commerce Lösung macht es Ihnen einfach, diesen Bestimmungen zu entsprechen.

PCI- bzw. CISP-Sicherheitsstandards

Um Kreditkarten zu akzeptieren, zu übermitteln und zu verarbeiten müssen Sie und die benutzte Software PCI-/CISP-konform sein. Das ist nötig, wenn Sie online, am Telefon oder im Ladengeschäft Kreditkartenzahlungen anbieten wollen.

Diese Sicherheitsstandards wurden von den Kreditkartenfirmen initiiert, um den Diebstahl von Kreditkartennummern und Daten zu reduzieren.

Diese Regeln beschreiben wie Sie als Shop-Betreiber die Daten der Karten vor eventuellem Diebstahl zu schützen. Sie sind auf die Software, die Sie nutzen, auf den Server und auf Ihr Arbeitsumfeld im Büro anzuwenden.

Was müssen Sie tun?

Die Shop-Software

Der einfachste Weg den Bestimmungen zu entsprechen ist eine Software, die KEINE Kreditkartennummern verarbeitet, übermittelt oder speichert. ShopFactory ist dafür der ideale Partner.

Viele Shop-Software-Lösungen auf dem Markt sind mindestens in einem Punkt nicht regelkonform, wie z.B. die Übermittlung der Kreditkartennummer zur Überprüfung an einen Zahlungsdienstleister.
Besonders Open-Source-Programme scheitern daran.

Ist dies der Fall müssen Sie Ihren Shop auf einem PCI/CISP-konformen Server hosten und ebenso all den Richtlinien der Standards entsprechen. Ein großes Unterfangen für ein kleines Unternehmen.

ShopFactory umgeht dieses Problem, indem es den Kreditkartenprozess vollständig auslagert.

Manuelle Kreditkartentransaktionen

Wenn Sie Kreditkarten annehmen wollen, nutzen Sie am Besten einen Serviceanbieter, der in Ihrem Auftrag Kreditkartendaten akzeptiert und in einer PCI-konformen Umfeld autorisiert. 

Auf diese Weise müssen Sie nicht Sie die Kartendaten übermitteln und/oder bearbeiten - Sie umgehen damit die Pflicht die Sicherheitsstandards erfüllen zu müssen.

Zahlungstransaktionen in Echtzeit

Die sicherste Möglichkeit ist der Einsatz eines Echtzeit-Zahlungsdienstleisters, der in Ihrem Namen die Zahlungen per Kreditkarte entgegennimmt und verarbeitet. Ebenso hilfreich ist auch ein Bestellmanagement-Anbieter wie GlobeCharge. Auch hier haben Sie nichts mit den Daten zu tun: keine Übermittlung, keine Speicherung und keine Verarbeitung. Und Sie müssen sich nicht um die Einhaltung der Sicherheitsrichtlinien sorgen.

Wenn Sie viele Bestellungen erhalten, dann ist der Einsatz eines solchen Echtzeit-Zahlungsdienstleisters empfehlenswert um Ihr Prozesse effizienter zu gestalten. Viele dieser Anbieter nutzen zudem anspruchsvolle Kreditkartenbetrugserkennungsmethoden, um Sie vor Betrügern zu schützen, außerdem ist das auch Ihre Aufgabe um den PCI-/CISP-Richtlinien zu entsprechen.

Bitte beachten Sie: Wenn Ihr Shop bei der Eingabe der Zahlungsdetails des Kunden im Hintergrund mit einem Echtzeit-Zahlungsdienstleisters verbunden ist, dann sind Sie in der Verantwortung den PCI-Standards folge zu leisten. Bedenken Sie das bitte bei der Wahl Ihrer Shop-Software.
Anders als ShopFactory, akzeptieren viele andere E-Commerce-Lösungen Kreditkartendaten auf dem Server und leiten sie dann einen Zahlungsdienstleister weiter. Und somit sind Sie wieder am Zug die Richtlinien der Sicherheitsstandards einzuhalten.

Weitverbreitete Missverständnisse

Es gibt viele Missverständnisse im Bezug auf die Einhaltung der PCI-Sicherheitsstandards. Die größte falsche Auffassung ist, dass Sie sich nur mit den PCI-Standards befassen und ihnen entsprechen müssen, wenn Sie Kreditkartennummern abspeichern. Das ist falsch.

Viele Shop-Software-Pakete nehmen die Kreditkartendaten an und leiten sie an einen Zahlungsdienstleister weiter. Dieses Vorgehen fällt unter das Stichwort "Übermittlung". Sollte Ihre Shop-Software so vorgehen, dann muss nicht nur Ihr Server sondern auch Ihr Hosting-Provider PCI-konform sein.

Ein weiteres Missverständnis besagt, dass Server, die einen Sicherheits-Scan bei einem anerkannten Sicherheits-Service bestehen automatisch PCI-konform sind. Das ist auch falsch.

Der Sicherheits-Check ist nur ein Teil der PCI-Genehmigung. Wenn Ihre Hosting-Provider nicht konform sind, dann sind Sie es im Endeffekt auch nicht, ganz gleich, was der Sicherheits-Scan besagt. Zusätzlich müssen Sie die Punkte des geforderten, sog. PCI/CISP Formulars erfüllen, eine Art Selbstbewertung. Viele dieser Fragen werden hier nicht durch einen anerkannten Scan geklärt.

Zusammenfassung

Bei der Nutzung einer Shopsoftware wie ShopFactory in Kombination mit einem Echtzeit-Zahlungsdienstleisters, der Kreditkartendaten auf seinem Server akzeptiert oder unter der Verwendung eines Bestellmanagement-Anbieters wie GlobeCharge, der ebenfalls Kreditkarten akzeptiert, sind Sie nicht in Übermittlung, Speicherung oder Verarbeitung der Kreditkartendaten involviert. Das macht das Arbeiten mit den Sicherheitsstandards für Sie weitaus einfacher.