Wenn ihr Geschäft, Hotel, Reisebüro, Restaurant oder ähnlich kritische Daten von Zahlungskarten speichert, verarbeitet oder überträgt, müssen Sie sich ungeachtet der Größe Ihres Unternehmens an die Standards PCI DSS/PSD2 halten. Wenn Sie keine Kartendaten verarbeiten oder speichern, aber Zahlungs-Gateways von Drittanbietern nutzen, müssen Sie sehr wahrscheinlich ebenfalls diesen Standard befolgen.

Was bedeutet PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist die globale Norm für den Datenschutz in Branchen, die mit Kredit- und Debitkarten arbeiten, und soll vor allem sicherstellen, dass alle Unternehmen über ein minimales Sicherheitsniveau als Basis zum Schutz der Daten ihrer Kartenkunden verfügen.

Die zu schützenden, kritischen Daten umfassen: PAN, Name des Karteninhabers, Ablaufdatum, Servicecode, Daten des Magnetstreifens oder die entsprechenden Chip-Daten, CAV2, CVC2, CVV2, CID, persönliche Identifikationsnummer und PIN-Blöcke.

Was bedeutet PSD2?

Die Regelungen für den PCI DSS wurden 2006 festgelegt und mussten, obwohl sie gegenwärtig schon in der Version 4 gelten (1. Quartal 2022), an neue Sicherheitssysteme angepasst werden. So trat im Jahr 2019 die 2. Zahlungsdiensterichtlinie (PSD2) in Kraft, die für alle Unternehmen gilt, die mit europäischen Kunden interagieren.

Der PSD2 beinhaltet verbesserte Verfahren für Online-Zahlungen und zum Management vertraulicher Daten, um so die Gefahr von Diebstahl, Betrug und Sicherheitsverstößen zu reduzieren. Die wichtigste Änderung ist die Anforderung einer starken Kundenauthentifizierung (SCA) bei Online-Transaktionen. Für diese SCA müssen die Kunden einen zweiten Authentifizierungsfaktor angeben. Dabei kann es sich um einen PIN-Code oder einen Verifizierungscode per SMS handeln, der eingegeben werden muss, bevor die Zahlung vorgenommen werden kann.

Was bedeutet PSD2 für Ihr Hotelunternehmen?

Im Grunde genommen bedeutet dies, dass Transaktionen, die vom Hotel nicht in Gegenwart des Gastes vorgenommen werden, auch nicht die Anforderungen von PSD2 erfüllen. Bei jeder Zahlung müssen die Gäste einen Zwei-Faktor-Verifizierungsschritt wie bei der Vornahme der Buchung oder beim Checkout durchführen können, so dass die Hoteliers ihre Zahlungsprozesse gegebenenfalls modifizieren bzw. anpassen müssen. 

Anforderungen und Lösungen

Der Standard PCI DSS umfasst mehr als 290 Kontrollen zur physischen, logischen und administrativen Sicherheit, die schematisch in 6 Ziele zusammengefasst sind, welche wiederum wie folgt in 12 Anforderungen unterteilt werden:

Stufen

Je nach Anzahl Transaktionen des Unternehmens pro Jahr gelten unterschiedlich hohe Anforderungen, die in vier Stufen unterteilt sind:

• Stufe 1: mehr als 6 Mio. Transaktionen pro Jahr
• Stufe 2: 1 Mio. bis 6 Mio. Transaktionen pro Jahr
• Stufe 3: 20.000 bis 1 Mio. Transaktionen pro Jahr
• Stufe 4: weniger als 20.000 Transaktionen pro Jahr

Für die Stufen 2, 3 und 4 können Sie folgendes Tool zur Selbsteinschätzung nutzen:  Mithilfe des SAQ oder Selbstbeurteilungsfragebogens lässt sich die Einhaltung der Anforderungen der Norm PCI DSS beurteilen, jedoch wird für die Stufe 1 neben dem ausgefüllten SAQ eine „Formelle Überprüfung der Einhaltung“ gefordert, bei der ein umfassenderer Nachweis zu den einzelnen Anforderungen verlangt wird. GMV ist ein zugelassener Scanning-Anbieter für diese offiziellen Bewertungen. Bitte zögern Sie nicht, uns für weitere Informationen zu kontaktieren.

Autor: Joan Antoni Malonda