Shop-und-Service

Ab dem 1. Januar 2008 müssen Betreiber von Online-Shops, die Kreditkarten als Zahlungsmittel akzeptieren und daher Kreditkartendaten speichern und verwalten, ihre Sicherheit extern prüfen und zertifizieren lassen. Maßgabe dafür sind die Datensicherheitsstandards der Payment Card Industry Data Security Standard (PCI DSS). Online-Shop-Betreiber, die diese Zertifizierung nicht nachweisen können, werden ab dann von den großen Kreditkartenorganisationen haftbar gemacht, wenn Daten gestohlen und/oder missbraucht werden sollten. Wesentliches Motiv für diese verlangte Zertifizierung der Datenschutzstrukturen eines Online-Shops ist die wachsende Zahl der Datendiebstähle über das WWW. Mehrfach gingen solche Fälle durch die Medien. Bisher wurden insgesamt rund 40 Millionen Kreditkartennummern über Online-Systeme entwendet.

Das PCI DSS-Zertifikat umfasst insgesamt Zwölf Punkt. Die beiden Globalplayer in Sachen Kreditkarten, Visa und MasterCard haben für Ihre Partnern sehr strikte Vorgaben, wie die Sicherung der Daten umzusetzen ist und dass diese verpflichtend entsprechend dem Visa AIS (Account Information Security) beziehungsweise dem MasterCard SDP (Site Data Protection) zu zertifizieren sind. Händler und Online-Shop-Betreiber, die diese Vorgaben nicht erfüllen oder ignorieren und die dann einen Datendiebstahl oder -missbrauch zu verantworten haben, riskieren nicht nur Geldstrafen sondern auch die Beschneidung ihres Kreditkartenprogrammes oder sogar denn permanenten Ausschluss.

Kleinere Anbieter und Shops, die diese Zertifizierung vom Aufwand und den Kosten her nicht selbst Schultern können, sind gut beraten, die Abwicklung von Kreditkartenzahlungen über Outsourcing zu regeln und damit eine externe Clearingstelle zu nutzen, anstatt ein hauseigenes Kreditkarten-Paymentsystem zu implementieren. Die Nutzung einer externen Clearingstelle bedeutet, dass die Kreditkartendaten und die Zahlungsabwicklung über diese läuft und diese Stelle auch die Zertifizierung haben muss. Es bieten sich hier reine Kreditkarten-Clearingdienste wie www.saferpay.com an, oder auch „gemischte“ Dienste, die neben Kreditkarten auch andere Systeme bieten. Der bekannteste „Mischdienst“ ist PayPal (www.paypal.de), wobei hier die Zahlung per Kreditkarte „indirekt“ erfolgt, da der Kunde ja PayPal als Zahlungsweg benutzt und lediglich PayPal das Geld von seiner Kreditkarte „holen“ lässt. Gerade für kleinste und kleine Online-Shops und Händler, die sowieso auch eBay nutzen, ist PayPal sicher die kostengünstigere und aufwandsärmere Alternative zu den reinen Kreditkarten-Clearingdiensten.