Zahlungssicherheit und Betrug

Wenn Kunden bargeldlos bezahlen, sollten die Unternehmer zu ihrer eigenen Sicherheit gewisse Standards beachten.

Zahlungssicherheit und Betrug

3-D Secure

Das von MasterCard und Visa entwickelte Authentifizierungsverfahren 3-D Secure stellt sicher, dass der rechtmäßige Kreditkarteninhaber und der rechtmäßige Online-Händler an einer Transaktion teilnehmen. Das geschieht durch eine Identifizierungsmethode des Kreditkarteninhabers während des Bezahlvorgangs.

Payment Card Industry Data Security Standard (PCI DSS)

Der von Visa und MasterCard geschaffene Payment Card Industry Data Security Standard (PCI DSS) ist verbindlich für alle an der Verarbeitung von Kreditkartendaten beteiligten Unternehmen wie Händler, Anbieter von Kartenakzeptanzen, Payment Service Provider oder auch Drittdienstleister. PCI DSS definiert folgende zwölf Sicherheitsanforderungen für die Verarbeitung, Speicherung und Übertragung von vertraulichen Kartendaten:

  1. Installation und regelmäßige Aktualisierung einer Firewall zum Schutz von Daten
  2. Keine Verwendung vorgegebener Werte für System-Passwörter oder andere Sicherheitsparameter
  3. Keine unnötige Speicherung von Karten- und Transaktionsdaten, wie etwa der vollständigen Kartennummer
  4. Verschlüsselte Übertragung von Karteninhaberdaten und sensiblen Informationen in offenen Netzwerken
  5. Verwendung und regelmäßige Aktualisierung einer Anti-Viren-Software
  6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
  7. Beschränkung des Datenzugriffs ausschließlich für geschäftliche Zwecke
  8. Zuteilung einer eindeutigen Kennung für jede Person mit Zugang zum Computersystem
  9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten
  10. Nachvollziehbarkeit und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Karteninhaberdaten
  11. Regelmäßige Überprüfung von Sicherheitssystemen und Prozessabläufen
  12. Bereitstellung und Einhaltung einer Unternehmensrichtlinie, die das Thema Informationssicherheit regelt

PCI DSS Compliance

Ob ihre Unternehmen dem einheitlichen Sicherheitsstandard entsprechen, überprüfen Kunden der Genossenschaftlichen Finanzgruppe einfach über die PCI DSS Plattformen der DZ BANK beziehungsweise der WGZ BANK. Dort erhalten sie den geforderten Nachweis über Ihre PCI DSS Compliance. Eine Missachtung des PCI DSS Regelwerks bei einer eventuellen Datenmanipulation, einem Datendiebstahl oder einem Datenverlust kann zu hohen Strafen bei der Kartenorganisation und demzufolge zu hohen Imageschäden für Unternehmen führen. Selbstverständlich verfügt CardProcess als Unternehmen, das Acquiring (Kartenakzeptanz) und Processing anbietet über eine PCI DSS Zertifizierung durch SRC.

Kreditkartenzahlungen am POS

Um das Risiko von Kreditkartenmissbrauch im Vor-Ort-Geschäft zu minimieren, sollten sich Händler und Dienstleister an bestimmte Vorgaben halten. So vermeiden Sie verlustreiche Chargebacks (Rückbuchungen) und stoppen den Betrug an der Quelle.

  • Wenn die vorliegende Kreditkarte einen EMV-Chip besitzt, sollten Transaktionen ausschließlich chip-basiert erfolgen.
  • Kartendaten sollten niemals manuell erfasst und Rechnungsbeiträge immer als Gesamtbetrag und nicht auf verschiedene Belege verteilt werden.
  • Karten sollten nur akzeptiert werden, wenn die Gültigkeitsdauer noch nicht abgelaufen ist.
  • Die Kreditkartennummer ist immer zu überprüfen: Die ersten vier Stellen der auf der Karte fühlbar geprägten Nummer muss mir der darunter aufgedruckten Nummer übereinstimmen.
  • Die geprägten Kreditkartendaten wie Name, Kartennummer und Gültigkeitsdauer müssen mit dem Beleg des Terminals übereinstimmen.
  • Ein UV-Prüfgerät erkennt die speziellen Hologramme der Kreditkarten von MasterCard und Visa, die Fälscher meist nicht kopieren können.
  • Belege dürfen nur vom Karteninhaber unterschrieben werden, die Unterschrift muss mit der Unterschrift auf der Kreditkarte und dem Identitätsnachweis, wie Ausweis oder Reisepass, übereinstimmen.

Minimales Risiko im Fernabsatzgeschäft

Auch im Fernabsatz kann mit der Einhaltung gewisser Standards höchstmögliche Sicherheit erzielt werden.

  • Vom Kunden abgefragt werden sollten mindestens Kartennummer, Name des Karteninhabers, Ablaufdatum der Kreditkarte sowie Rechnungsadresse und Versandadresse des Karteninhabers.
  • Die Rechnungs- und Lieferadresse sollten übereinstimmen.
  • Eine zusätzliche Abfrage der Kartenprüfziffer erhöht die Sicherheit der Transaktion.
  • Auf Transaktionen mit Kreditkarten aus risikoreichen Länder sollte verzichtet werden.
  • Es sollte das Authentifizierungsverfahren 3-D Secure genutzt werden.