Was den wenigsten Händlern bewusst ist; in diesem Jahr gibt es neue Anforderungen bzgl. Erfassung von Kreditkarten-Daten. Vereinfacht gesagt, nicht mal mehr die Eingabe-Felder dürfen auf dem Server des Händlers liegen, sondern müssen direkt via einem Formular des PSPs eingebunden werden, wer sich nicht den strengeren Regeln des neuen Sicherheitsstandards unterwerfen will.
Das kann mitunter grössere Anpassungen an den Checkouts bedingen vor allem für Händler, welche die Erfassung der Daten nahtlos in das Layout ihres Shops integriert haben.
Im Gastbeitrag von Thomas Willenborg, Leiter Marktentwicklung beim Schweizer Payment Service Provider Datatrans, werden die Details hierzu erläutert:
Prüfen Sie, was sich für Sie als Händler ändert und welche Lösungen es gibt.
Seit dem 01. Januar 2015 gilt für alle Online-Händler, die Waren oder Dienstleistungen im Internet über Kreditkarte verkaufen, der neue Sicherheitsstandard PCI DSS 3.0. Neben zahlreichen Detailoptimierungen gibt es auch grössere Anpassungen – die wohl wesentlichste Neuerung betrifft die Selbstdeklaration und Klassifizierung der einzelnen Online-Händler.
Neu: Händler werden in 2 Gruppen unterteilt.
Im Idealfall haben Sie als Händler bisher den einheitlichen Fragebogen SAQ – A (Self Assessment Questionnaire A) für Ihren Acquirer (Finanzinstitut) ausgefüllt. Dieser SAQ A umfasst eine überschaubare Selbstdeklaration von ca. 10 Fragen. Durch PCI 3.0 wird ein neuer SAQ A-EP eingeführt, der die Online-Händler künftig in 2 Gruppen unterteilt. Der neue SAQ A-EP ist allerdings deutlich umfangreicher und umfasst weit über 100 Kriterien, die vom Händler zu erfüllen sind.
Welcher Händlergruppe gehören Sie an?
Händlergruppe SAQ A-EP: Sie verwalten Ihre Bezahlformulare (Formular zur Erfassung der Kreditkarteninformationen) selber und leiten lediglich die Kreditkarteninformationen direkt an einen zertifizierten Payment Service Provider weiter. Sie müssen künftig den umfangreicheren SAQ A-EP erfüllen.
Händlergruppe SAQ A: Sie lagern Ihre Bezahlformulare (Formular zur Erfassung der Kreditkarteninformationen) vollständig an einen zertifizierten Payment Service Provider aus. Für Sie ändert sich nichts. Sie müssen weiterhin den SAQ A erfüllen.
Welche Möglichkeiten habe ich, um weiterhin nur den vereinfachten SAQ A erfüllen zu müssen?
3 einfache Lösungsansätze für die vereinfachte Selbstdeklaration nach SAQ A bei welchen die Kreditkarten-Daten in Formularfelder eingefüllt werden, die beim PSP (in diesem Beispiel Datatrans) gehostet werden, das Design jedoch unterschiedlich stark / gering beeinflussen:
Natürlich steht es jedem Händler frei, weiterhin seine Bezahlformulare selber zu verwalten und beispielsweise einen Hidden / Ajax Mode zu nutzen. Dies erfordert jedoch neu den erweiterten SAQ A-EP Standard.
Wer mehr dazu erfahren möchte:
- Weitere Informationen zu den 3 Lösungsansätzen
- Weitere Informationen zu den Responsive Payment Pages von Datatrans (PDF)
[…] Onlinehändler aufgepasst: Neue Anforderungen für die Erfassung der Kreditkartendaten […]