PCI-DSS/PSD2 Compliance
Was ist PCI-Compliance?
PCI wurde 2006 gegründet und steht für den Payment Card Industry Data Security Standard, der Richtlinien für die Annahme, Speicherung und Verarbeitung von Kreditkarteninformationen enthält. Eine Organisation ist PCI-konform, wenn sie diese Vorschriften befolgt. PCI wurde eingeführt, um die sensiblen Daten der Verbraucher zu schützen, und daher muss jeder Händler, der Kreditkarteninformationen verwendet, diese Regeln einhalten, von kleinen Unternehmen bis hin zu großen Konzernen.
Beispiele für diese Richtlinien sind die Verwendung einer Online-Checkout-/Zahlungsseite, die von einem lizenzierten Drittanbieter kontrolliert wird, das Speichern von Kreditkartendaten über einen Drittanbieter, anstatt in Ihrem eigenen System, und das Maskieren der vollständigen Kreditkartennummer auf Quittungen, stattdessen werden nur die letzten 4 Ziffern angezeigt.
Was ist PSD2-Compliance?
PSD2 wurde 2015 von der EU beschlossen und steht für Payment Services Directive und ist eine EU-Richtlinie der Europäischen Kommission im Zahlungsdiensterecht zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern in der gesamten Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR).
Die wohl spürbarste Änderung mit Einführung der PSD2 war, dass jegliche Online-Zahlungen eine SCA (Secure Customer Authentication), also eine sichere Kundenauthentifizierung verlangen - d.h. dass jede Online-Zahlung vom Kunden mittels einer 2-Faktor-Authentifizierung authorisiert werden muss. Obwohl die PSD2 offiziell bereits 2018 in Kraft trat wurde sie von vielen Banken erst im Laufe der Jahre 2020 und 2021 umgesetzt.
Was bedeutet die PCI-Compliance für Ihr Hotel?
Nahezu jedes Hotel verarbeitet Kreditkartendaten, egal in welcher Form diese Verarbeitung statfindet findet Sie sich mit fast 100%iger Sicherheit innerhalb des PCI-Scopes wieder - deshalb müssen Sie unter anderem Folgende Punkte umsetzen:
Einsatz PCI-Zertifizierte Software bzw. Hardware zur Verarbeitung von Kreditkartendaten
PCI relevante Daten sind in der Regel verschlüsselt (wo möglich tokenisiert) aufzubewahren
Sichere Passwörter (idealerweise mit 2-Faktor-Authentifizierung und regelmäßiger Passwortänderung) zum Zugriff PCI relevante Daten
PCI relevante Daten löschen, sobald diese nicht mehr benötigt werden
Regelmäßiges PCI-Training Ihrer Mitarbeiter
Erarbeitung interner Richtlinien zur Verarbeitung PCI relevanter Daten
Mindestens einmal jährlichen den PCI DSS SAQ A ausfüllen (sofern Sie Kreditkartendaten nur Online verarbeiten) Je nachdem wie Sie offline Kreditkartendaten verarbeiten kann auch das ausfüllen der PCI DSS SAQ B, B-IP, C-VT, C, P2PE-HW notwendig sein.
CVC/CVV Codes dürfen nicht gespeichert werden
Was bedeutet PSD2 für Ihr Hotel?
Die größte Auswirkung von PSD2 ist, dass es kaum noch Möglichkeiten gibt von Gästen, telefonisch oder per E-Mail, erhaltene Kreditkartennummern zu belasten. Nahezu alle Transaktionen erfordern eine sichere 2-Faktor-Authentifizierung durch den Gast - d.h. selbst wenn Sie Kreditkartendaten von Gästen erhalten haben, so wird es immer schwieriger diese nachträglich auch zu belasten.
Kreditkartennummern dürfen niemals über unsichere Kanäle wie E-Mail übertragen werden.
Werden im Rahmen der Online-Buchung Kreditkartendaten über einen verbundenen PSP (Payment Service Provider) erfasst, so kann in diesem Zuge eine Authorisierung für zukünftige Belastungen der gleichen Kreditkarte, durch den gleichen Händler über den gleichen PSP eingeholt werden. Dies stellt zwar keine Garantie dar, dass die Kreditkarte ohne erneute sichere Authentifizierung des Kunden belastet werden kann, funktioniert, unserer Erfahrung nach, jedoch in mehr als 99% aller Fälle.
Ist meine Hotelsoftware PCI-Compliant?
Wir arbeiten aktuell mit externen Partnern zusammen um eine PCI DSS D Service Provider Level 3 Zertifizierung zu erreichen. Diese würde uns ermöglichen, Kreditkartendaten in unserer Hotelsoftware zu verarbeiten und z.B. von externen Buchungskanälen (z.B. Booking.com) direkt an Ihren PSP (z.B. Stripe) durchzuschleusen. Da dies jedoch mit einem hohen technischen Aufwand und sehr hohen laufenden Kosten verbunden ist, lässt sich derzeit noch kein Zeithorizont für die Erreichung dieser PCI-Zertifizierung abschätzen. Sehr wahrscheinlich werden wir diese Funktion, dann als Zusatzmodul, für einen geringen Aufpreis, anbieten um zumindest einen Teil der entstehenden Kosten abzudecken.
Ein integraler Bestandteil der PCI-Compliance ist, dass wir als Service Provider sicherstellen müssen, dass wir keinerlei Kreditkartendaten in nacht dafür vorgesehen Feldern speichern. Aus diesem Grund werden alle Eingabefelder beim Speichern auf eventuell enthaltene Kreditkartendaten kontrolliert. Sollten wir Kreditkartendaten vorfinden, so werden diese von uns automatisch entfernt. Für die Speicherung von Kreditkartendaten empfehlen wir die Verwendung von virtuellen internetbasierten Zahlungsterminals Ihres PSPs (z.B. Stripe).
Siehe auch:
Last updated