Kreditkartenzahlung: Warum überhaupt PCI DSS zertifizieren?
Ein Gastbeitrag von Datatrans AG und a-five
Die Kreditkarte bleibt nach wie vor eines der wichtigsten Zahlungsmittel für touristische Dienstleistungen. Laut der aktuellen „Online-Payment 2016“ Studie des EHI-Retail Institutes steigt die Attraktivität der Kreditkarte auch dieses Jahr wieder, u. a. auch durch die Deckelung der Kreditkarten-Gebühren.
Mit Zunahme der Attraktivität nehmen auch das Risiko eines Datendiebstahls und die dadurch schärferen Sicherheitsmaßnahmen im Rahmen von PCI DSS zu. Das erschwert den Umgang für jedes Unternehmen, das mit sensiblen Kundendaten in Berührung kommt. Ein Datendiebstahl kann dabei durch externe Hacker-Angriffe oder aber auch durch fahrlässigen oder missbräuchlichen Umgang mit Daten durch eigene Mitarbeiter geschehen.
Die sensiblen Daten sind ein beliebtes Ziel für Cyber-Kriminelle, da sie im sogenannten Darknet recht einfach in Geld umgesetzt werden können. Eine Kreditkarte kann dort schnell für 20-30 € verkauft werden. Durch die Bezahlung per Bitcoins bleiben die Täter zudem meist unentdeckt.
Welche Folgen hat ein Datendiebstahl für mein Unternehmen?
Der PCI DSS Standard ist ein verpflichtender Standard, der darauf abzielt, Online-Händler und Endkunden vor externen und internen Cyber Attacken, Diebstählen oder Kartenmissbräuchen zu schützen. Alle Unternehmen, die Kreditkartendaten speichern, übermitteln oder auch nur kurzzeitig über die eigenen Server verarbeiten, sind verpflichtet diesem Standard Folge zu leisten. Das ergibt sich aus einer Kette von Vertragsbeziehungen von der Kartenorganisation über den Acquirer bis hin zum Händler.
Kommt es zu einem Datendiebstahl im Einflussbereich Ihres Unternehmens und besitzen Sie zum Zeitpunkt des Diebstahls kein Datenschutz- sowie Sicherheitsniveau gemäß PCI DSS, fallen Sie in die „Non-Compliance“ und müssen mit weitreichenden Konsequenzen rechnen. Neben teuren forensischen Untersuchungen und Schadensersatzansprüchen der Finanzinstitute kommen meist noch Reputationsverlust durch öffentliche Berichterstattung und Vertrauensverlust bei Kunden hinzu.
Ein Rechenbeispiel
Ein Händler mit monatlich 500 Kartenzahlungen speichert über 2 Jahre Kartendaten. Etwa 10.000 Karteninhaber-Datensätze werden gestohlen und missbräuchlich eingesetzt.Im Schadenfall eintretende direkte Kosten:
- Fallpauschale (Buße) EUR 50.000
- Forensic Investigation EUR 50.000
- Gerichtskosten EUR 50.000
- Kartenersatz EUR 50.000 (EUR 5 / Karte)
- Dispute Cost EUR 500.000 (EUR 50 / Karte)
- Schaden (Einsatz)EUR 1.000.000 (EUR 100 / Karte)
Kosten insgesamt EUR 1.700.000
Wie kann ich das Risiko minimieren?
Können Sie nachweisen, dass Sie zum Zeitpunkt des Diebstahls PCI DSS konform waren, reduzieren Sie Ihre Haftung auf ein Minimum. Sie werden somit weder sanktioniert noch müssen Sie Folgeschäden tragen oder Umsatzeinbußen durch Reputations- oder Vertrauensverlust der Kunden erleiden. Ihre Kunden haben steht’s die Gewissheit, dass sie risikolos bei Ihnen mit der Kreditkarte bezahlen können.
Die Erlangung der PCI DSS Zertifizierung ist allerdings je nach Größe des Händlers sehr kostenintensiv und ressourcenaufwendig, weshalb das Risiko von vielen Unternehmen immer noch in Kauf genommen wird. Weiterreichende Folgen wie der Verlust des Acquirers und der daraus entstehende Verzicht auf die Akzeptanz von Kreditkarten werden dabei oft nicht in Betracht bezogen.
Clevere Zertifizierung dank Verringerung des PCI DSS Geltungsbereiches durch PCI Proxy
Abhilfe schaffen sogenannte „PCI Proxy“-Lösungen, die einen einfachen und kostengünstigen Weg zur Erlangung der PCI Konformität darstellen, sowie einen zusätzlichen Schutz der kritischen Daten bieten. Durch die Eliminierung von Kreditkartendaten aus dem eigenen Einflussbereich reduzieren Sie Ihren PCI DSS Geltungsbereich, wodurch die Zertifizierung stark vereinfacht wird. Die Haftung in Bezug auf den Verlust oder Diebstahl von kritischen Daten fällt somit weg. Die meisten Unternehmen müssen somit nur noch den einfachen Selbstauskunftsfragebogen (SAQ) Typ A ausfüllen, der 13 Anforderungen beinhaltet, die generell jedes datenverarbeitende Unternehmen erfüllen sollte.
Der PCI Proxy Server wird von einem PCI DSS Level 1 zertifizierten Dienstleister, meist einem Payment Service Provider, betrieben und fungiert als eine Art Datenstromfilter. Dieser wird zwischen die Quelle der Kreditkartendaten und Ihren Systemen geschaltet. Die Datenströme werden automatisch nach Kreditkartendaten gefiltert. Der PCI Proxy speichert dabei die Kreditkartendaten in einem sicheren Tresor und ersetzt diese mit einem Referenzwert (Token) im Datensatz. Der Rest des Datensatzes bleibt identisch und kann wie zuvor verarbeitet werden.
Der sogenannte Token kann nun für verschiedene Prozesse, wie bis anhin die Kartennummer, eingesetzt werden: Er kann an eine zertifizierte Drittpartei weitergeleitet oder direkt abgerechnet werden. Auch die Ansicht einzelner Kartennummern ist möglich. Mehr Infos zu diesem Verfahren gibt es auf www.pci-proxy.com.
Fazit
Das ständig steigende Risiko eines Datendiebstahls und die weitreichenden Folgen bei einer „Non-Compliance“ sollten zum Handeln anregen, um besseren Schutz für Sie und Ihre Kunden zu gewährleisten. Clevere Lösungen, wie die der „PCI-Proxy“ Systeme zeigen, dass Sicherheit heutzutage nicht mehr nur von den ganz großen ressourcenaufwendig und teurer erlangt werden kann.