Es gibt verschiedene Payment-Security-Standards, die E-Commerce-Händler beachten sollten, um sichere Zahlungsmethoden im Internet zu bieten. Anbieter von Payment-Security-Zertifizierungen überprüfen diese, wenn Onlineshops ein entsprechendes Gütesiegel für die Zahlungssicherheit erwerben möchten.
PCI DSS-Standard für Kreditkartenzahlungen
PCI DSS steht für Payment Card Industry Data Security Standards. Dabei handelt es sich um Payment-Security-Vorgaben für die Kreditkartenzahlung. Verschiedene Kreditkartenorganisationen haben das weltweit geltende PCI DSS-Regelwerk für mehr Datensicherheit bei Zahlungsvorgängen entwickelt. So ist es Onlinehändlern nur dann gestattet, Kreditkartendaten zu speichern, wenn sie nach den PCI DSS-Standards zertifiziert sind.
Onlinehändler sind angehalten, die Einhaltung der Sicherheitsvorgaben regelmäßig nachzuweisen. Folgende Sicherheitsnachweise sind für die Zertifizierung der PCI DSS-Standards zu erbringen:
Jährliche Selbstauskunft: Darin geben Händler allgemeine Daten zum Unternehmen, zu ihren Verbindungen zu anderen Unternehmen sowie technische Details zur Verarbeitung von Karteninformationen an.
Quartalsweise Schwachstellen-Scans: Hierbei gilt es, etwaige Schwachstellen in den Systemen und Websites aufzudecken, durch die Angreifer an Kreditkartendaten gelangen könnten. Dabei werden u. a. Netzwerkkomponenten, Betriebssysteme und Applikationen überprüft.
Jährliche Onsite-Audits: Diese Sicherheitsprüfung vor Ort richtet sich vornehmlich an große Unternehmen mit millionenfachen Transaktionen pro Jahr. Sie beinhaltet u. a. die Besichtigung der Serverräume, Mitarbeiterinterviews, Prüfung der Prozessdokumentationen und Härterichtlinien sowie eine Prüfung der Systemkonfiguration.
PSD 2
Die Payment Services Directive 2 (PSD 2) ist eine Zahlungsrichtlinie, die größtenteils für Zahlungen in EU/EWR-Währungen gilt. Sie dient dazu, die Payment Security im digitalen Zahlungsverkehr zu erhöhen und den Verbraucherschutz zu stärken. Um den Vorgaben der PSD 2 nachzukommen, haben die Kartenorganisationen Visa und Mastercard gemeinsam mit der Branchenvereinigung EMVCo das 3D-Secure-Sicherheitsverfahren weiterentwickelt. Das sogenannte 3D Secure 2 ist PSD 2-konform und gilt sowohl für EU-Länder als auch für die Schweiz.
Zwei-Faktor-Authentifizierung: mehr Zahlungssicherheit für Kunden
Onlinehändler müssen demnach seit dem 01.01.2021 alle Transaktionen mit einer Strong Customer Authentication (SCA) absichern. Diese basiert auf einer Zwei-Faktor-Authentifizierung durch mindestens zwei dieser drei Faktoren:
Wissen: etwas, das nur dem Käufer persönlich bekannt ist, z. B. ein Passwort
Possession: something physically in the customer’s possession, such as a smartphone used to receive a transaction PIN
Inhärenz: ein einzigartiges, personengebundenes Merkmal wie ein Fingerabdruck
Beispiel: Möchten Kunden per Überweisung zahlen, geben sie zunächst ihr Passwort im Onlinebanking ein. Anschließend ist die Identität per Gesichtserkennung auf dem Smartphone zu bestätigen, bevor der Bezahlprozess abgeschlossen ist.
Zusätzliche Payment Security für Händler
Die Zwei-Faktor-Authentifizierung sorgt jedoch nicht nur für erhöhte Payment Security für Kunden, sondern auch für Verkäufer. So lässt sich einfach, schnell und kosteneffizient die Nutzeridentität überprüfen und dadurch das Betrugsrisiko senken. Zudem ermöglicht die Richtlinie größere Zahlungssicherheit für Instant-Payment-Services wie Giropay. Dabei handelt es sich um besonders sichere Zahlungsmethoden für Verkäufer, denn …
… die Ware wird sofort bezahlt und der Zahlvorgang direkt authentifiziert. Dadurch lässt sich die Bestellung schneller bearbeiten und versenden.
… Kunden können die authentifizierte Bezahlung nicht gleich wieder zurücknehmen. Somit reduziert sich das Risiko zurückgezogener Zahlungen für Onlinehändler.
Allerdings ist es aufgrund der erhöhten Payment Security durch PSD 2 für Onlineshops noch wichtiger, Zahlungsvorgänge möglichst kurzzuhalten und klar zu strukturieren. Denn zu viele Klicks stellen für Kunden eine größere Hürde dar, den Checkout-Prozess abzuschließen.
Zumutbarkeit von Bezahlmöglichkeiten
Laut § 312a Abs. 4 BGB besteht für Onlineshops die Pflicht, mindestens eine gängige und zumutbare kostenlose Bezahlmöglichkeit anzubieten. Diese Vorgabe ist auch im Hinblick auf Payment Security wichtig. Denn ein Urteil des Landesgerichts Frankfurt a. M. ergab, dass die Zahlungsmethode Sofortüberweisung als nicht zumutbar einzustufen ist. Verbraucher müssen hier ihre Kontozugangsdaten einschließlich PIN und TAN eingeben – und zwar nicht in ihrer gewohnten Onlinebanking-Umgebung. Dieser Umstand erhöht das Risiko eines Datenmissbrauchs. Möchten Verkäufer sichere Zahlungsmethoden in ihr Shopsystem einbinden, ist darauf zu achten, welche Daten Kunden an Dritte weitergeben müssen.
Vor diesem Hintergrund gelten u. a. folgende Zahlungsmethoden als gängig und zumutbar:
Kauf auf Rechnung
Zahlung per Vorkasse, z. B. SEPA Überweisung
SEPA-Lastschrift
PayPal
Gängige Kreditkartenformate