Online-Einkäufe mit einem guten Gefühl
Um dem Missbrauch bei Zahlungen auf Distanz vorzubeugen, haben sowohl die Kartenorganisationen - wie Mastercard oder Visa - als auch die so genannten Acquirer, die Kartenzahlungen abwicklen - wie der Sparkassen-Händlerservice - Sicherheitsmechanismen entwickelt.
| Sicherheitsmechanismus | Was sich dahinter verbirgt |
|---|---|
| 3D-Secure: Verified by Visa (VbV) und MasterCard SecureCode (MSC) | Die Sicherheitsstandards VbV von Visa und MSC von MasterCard für Kreditkarten-Zahlungen schützen Sie vor Rückbelastungen mit der Begründung "Transaktion vom Karteninhaber nicht durchgeführt/autorisiert" (Haftungsumkehr) durch einen zusätzlichen Identifikationsprozess. |
| Kartenprüfnummer (KPN) | Zusätzlich zur Kreditkartennummer wird im Fernabsatzgeschäft die Kartenprüfnummer abgefragt. Dadurch kann die Sicherheit, dass dem Käufer die Karte auch tatsächlich vorliegt, erhöht werden. |
| Prüfroutinen | Algorithmus (Luhncheck) zur logischen Prüfung der Kreditkartennummer. Bei allen Lastschriftzahlungen prüft der Sparkassen-Händlerservice die Bankleitzahl sowie deren logische Zuordnung zur Kontonummer. |
| PCI DSS bei E-Payment-Software | Die E-Payment-Software Sparkassen-Internetkasse erfüllt die Anforderungen der Kreditkartenorganisationen gemäß Payment Card Industry Data Security Standard (PCI DSS). |
3D-Secure Verfahren
Beide 3D-Secure Sicherheitsverfahren im E-Commerce ermöglichen neben der Authentifizierung der Karteninhaber auch den Schutz vor Kartenmissbrauch im Internet.
Wie funktionieren die Sicherheitsverfahren?
Ihre Kunden werden automatisch auf eine sichere Seite der Karten ausgebenden Bank weitergeleitet und haben dort ihre Zahlung per Passworteingabe zu bestätigen. Im Anschluss daran erfolgt die tatsächliche Online-Autorisierung.
Für Ihren Kunden ist dann eine Zahlungsrückgabe unter Angabe des Arguments "Transaktion nicht durchgeführt" (Haftungsumkehr) nicht mehr möglich. Das funktioniert auch, wenn die Bank des Kunden nicht an den Sicherheitsverfahren Verified by Visa und MasterCard SecureCode teilnimmt.
Zahlungsarten mit 3D-Secure Option
- Visa
- MasterCard
- Maestro
Hinweis: Ausgenommen sind Firmenkreditkarten von Mastercard und Visa sowie Prepaid-Karten von Visa
Vorteile der 3D-Secure Verfahren
- Schutz vor betrügerischem Kartenmissbrauch
- Verringerung berechtigter Rückbelastungen
- Erhöhung der Zahlungssicherheit
- Einfache Integration des Merchant
- Plug-in zur sicheren Datenübertragung an die Kartenorganisation / Karten ausgebende Bank
PCI-DSS
Tipps zur Einhaltung des Payment Card Industry Data Security Standard
Sie als Händler verarbeiten, speichern und leiten Karteninhaberdaten weiter. Daher sollten Sie sich mit den Schritten vertraut machen, die erforderlich sind, um den PCI Standard einzuhalten und zu erfüllen. Denn er enthält verbindliche Regeln für Händler, die Kartenzahlungen anbieten mit dem Ziel, Daten vor Missbrauch und Diebstahl zu schützen.
Zwölf Punkte für mehr Sicherheit
Die PCI-Compliance, das bedeutet die Einhaltung aller PCI-DSS-Sicherheitsanforderungen, muss nachgewiesen werden. Der Nachweis ist über unterschiedliche externe und interne Prüfungen zu erbringen – die sich nach dem Umfang Ihrer jährlichen Kartentransaktionen richten. Dabei wird beispielsweise Ihre Netzwerkarchitektur untersucht oder der Umgang mit kritischem Datenmaterial überprüft. Insgesamt zwölf Punkte innerhalb des PCI-DSS-Regelwerkes müssen Sie als Händler einhalten.
Punkte des PCI-DSS-Regelwerkes im Überblick
- Installation und regelmäßige Aktualisierung einer Firewall zum Schutz von Daten
- Keine Verwendung vorgegebener Werte (seitens Lieferanten / Hersteller) für System-Passwörter oder andere Sicherheitsparameter
- Absicherung gespeicherter Daten: Karten- und Transaktionsdaten nicht unnötig speichern, z.B. vollständige Kartennummer, Daten der Magnetstreifenspuren, Kartenverifizierungscode (CVV2), PIN
- Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken
- Installation und regelmäßige Aktualisierung einer anerkannten Anti-Viren-Software
- Entwicklung und Verwendung sicherer Systeme und Anwendungen
- Beschränkung des Datenzugriffs – nur für geschäftliche Zwecke
- Zuteilung einer persönlichen ID für jede Person mit Zugang zum Computersystem
- Zugriffsberechtigungen im Zusammenhang mit sensiblen Karteninhaberdaten einschränken
- Nachvollziehbarkeit und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Karteninhaberdaten
- Regelmäßige Überprüfung von Sicherheitssystemen und Prozessabläufen
- Unternehmensrichtlinie, die das Thema Informationssicherheit regelt
Risikoländer
Hinweise zum Versand in Drittländer
Im E-Commerce und Mailorder erfolgen oftmals Bestellungen aus dem Ausland. Hierzu gibt es Sicherheitskriterien, die Sie mit Blick auf die Sicherheit unbedingt einhalten sollten.
Wir möchten Sie schützen
Um die Risiken für Sie möglichst zu minimieren, haben wir eine Liste der Länder zusammengestellt, die nach unseren Erfahrungen besonders kritisch sind, was den Versand von Waren angeht:
| Asien | Indonesien, Philippinen, Malaysia, Singapur |
| Osteuropa | Rumänien, Bulgarien, Litauen, Ukraine, Balkanstaaten |
| Westeuropa | Großbritannien - v. a. Großraum London, Niederlande, Italien, Spanien (Großstädte) |
| Afrika | Elfenbeinküste, Nigeria, Ghana |
Auffälliges Verhalten
Sie können vom Verhalten der Besteller Rückschlüsse auf einen möglichen Betrug ziehen. Folgende Verhaltensweisen sollten Sie vorsichtig machen:
- Der Karteninhaber möchte den Rechnungsbetrag auf mehrere Kreditkarten aufteilen.
- Auf einer Bestellung stehen mehrere Kartennummern mit unterschiedlichen Namen.
- Der Besteller kündigt bereits Probleme an, z.B. "Sollte die Karte nicht funktionieren, dann schicke ich Ihnen die Kartennummer meiner Frau".
