Karteninhaberdaten wie die primäre Kontonummer (PAN), der Name des Karteninhabers, das Ablaufdatum, der CVV-Code, der PIN und die Authentifizierungsdaten sind hochsensible Kundendaten, die besonders geschützt werden müssen.
Der Branchenstandard Payment Card Industry (PCI) Data Security Standard (DSS) legt Regeln für die Verarbeitung von Karteninhaberdaten fest, um Kreditkartenbetrug zu verhindern. Im vorliegenden Bericht beschreibt MENU seine Rolle im Zusammenhang mit PCI DSS.
Abb. 1: Das von MENU angewandte Merchant-of-Record-Modell
Rollen
Bei der Nutzung des MENU-Systems übernimmt der MENU-Kunde (in der Regel ein Franchisenehmer) die Rolle eines sogenannten Merchant of Record (MoR). Der MoR ist die juristische Person, die einem Karteninhaber Waren oder Dienstleistungen verkauft und an die der Karteninhaber die Zahlung für diese Waren und Dienstleistungen schuldet.
Der MoR wickelt alle Zahlungen ab und übernimmt die gesamte Haftung im Zusammenhang mit diesen Transaktionen, einschließlich der Erhebung der Umsatzsteuer, der Einhaltung der PCI-Vorschriften (Payment Card Industry) und der Rückerstattung und Rückbuchung.
Zur Ausführung dieser Vorgänge verwendet der MoR das MENU-System. Das MENU-System überlässt die Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten Dritten (Zahlungs-Gateways und Zahlungsabwickler).
Der Zahlungsdienstleister (PSP) wickelt den Transaktionsprozess ab, also den Teil, bei dem das Geld das Bankkonto des Kunden verlässt und auf dem Bankkonto des Händlers eingeht. Mit PSP werden sensible Daten direkt vom Browser des Zahlungspflichtigen an den Zahlungsanbieter gesendet, ohne dass sie über die Server des Händlers laufen. PSP übernimmt die Verantwortung für die Zahlungen und entlastet die Händler von den Sicherheitsrisiken bei Transaktionen.
Implementierung
Das MENU-System speichert, verarbeitet und übermittelt keine sensiblen Karteninhaberdaten. Je nach spezieller Zahlungsintegration wird dies mit den nativen SDKs auf mobilen Geräten und gehosteten Seiten in iFrames in der Web-App umgesetzt.
Die Benutzer geben die Kreditkartendaten direkt in die vom PSP bereitgestellten Formulare ein. Der PSP gibt ein Token an das MENU-System zurück, welches die Zahlung eindeutig identifiziert, ohne die Daten des Karteninhabers preiszugeben.
PCI-Standards
Da das MENU-System weder sensiblen Karteninhaberdaten speichert, verarbeitet noch überträgt, ist es PCI-konform gemäß PCI DSS Version 3 konform mit SAQ A. Als Referenz dient der Fragebogen zur Selbsteinschätzung (SAQ) vom 8.2.2021.
Aus denselben Gründen ist der PCI Payment Application Data Security Standard (PA-DSS) nicht auf MENU anwendbar. PA-DSS gilt für Anbieter von Zahlungsanwendungen.
MENU lagert alle Funktionen für Karteninhaberdaten vollständig an einen Zahlungsanbieter aus. Dieser Zahlungsanbieter muss sich an PA-DSS halten.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.