Was sind die Industriestandards für Zahlungskarten?
Branchenstandards für Zahlungskarten sind die Standards, die bestimmen, wie Kreditkartenunternehmen und die Händler, mit denen sie Geschäfte tätigen, mit Kreditkartendaten umgehen und Zahlungen abwickeln. Grundsätzlich können Standards oder Best Practices, die in der Kreditkartenbranche weit verbreitet sind, als Standards der Kreditkartenbranche bezeichnet werden. Der Ausdruck wird jedoch am häufigsten im Zusammenhang mit dem universellen Datensicherheitsstandard der Zahlungskartenindustrie verwendet, der auch als PCI-DSS bezeichnet wird. Das PCI DSS ist ein von fünf großen Kreditkartenunternehmen entwickeltes Dokument, das unter anderem Anleitungen zum Speichern von Kreditkartennummern und -belegen, zum Sichern von Händlernetzwerken und zum Auslagern von Zahlungsvorgängen enthält. Die Einhaltung der im PCI DSS festgelegten Industriestandards für Zahlungskarten ist technisch freiwillig, aber die Nichteinhaltung hat häufig negative Folgen für Unternehmen und Ladenbesitzer.
Kreditkarten werden häufig verwendet, um alles zu bezahlen, von einmaligen Großeinkäufen bis hin zu alltäglichen Dingen wie Lebensmitteln und Benzin. Wenn ein Kunde eine Kreditkarte durchfährt, liest ein Computersystem des Händlers die Kreditkarteninformationen und überträgt diese Informationen zur Authentifizierung über eine Internetverbindung an den Computer-Mainframe des Kreditkartenunternehmens. Obwohl diese Transaktion normalerweise nur einige Sekunden dauert, handelt es sich um eine Menge hochsensibler Informationen. Wenn diese Informationen nicht ordnungsgemäß geschützt sind, können sowohl Karteninhaber als auch Händler Betrug erleiden. Die branchenüblichen Standards für Zahlungskarten zielen darauf ab, diesen Betrug zu verhindern oder zumindest zu verringern.
Obwohl einige Länder einheitliche Datensicherheitsstandards für Finanztransaktionen festlegen, tun dies nicht alle. Selbst die bestehenden Gesetze regeln die Finanzbranche in der Regel weitgehend, ein Mindeststandard, der nicht auf die Bedürfnisse der Kreditkartenbranche zugeschnitten ist. Umfassende Vorschriften der Kreditkartenbranche gibt es einfach nicht. Wenn dies weit genug verbreitet ist, können Standards der Kreditkartenindustrie diese Lücke füllen.
Einer der Hauptvorteile der Industriestandards für Zahlungskarten ist, dass sie für und von Unternehmen erstellt wurden, die Kreditkarten am häufigsten verwenden und damit umgehen. Standards sind nach ihrer Definition freiwillig, und kein Gesetz zwingt Unternehmen, sie anzuwenden. Wenn jedoch genügend Unternehmen damit beginnen, vereinbarte Zahlungskartenstandards umzusetzen, werden diese Standards häufig allgemein erwartet. Standards wie das PCI DSS zielen darauf ab, die Sicherheitsmaßnahmen für Kreditkarten weltweit zu vereinheitlichen.
Das PCI-DSS wurde ursprünglich von einer Gruppe erstellt, die als PCI Security Standards Council bekannt ist. Dieser Rat setzt sich aus Vertretern von fünf der weltweit größten Kreditkartenunternehmen zusammen: American Express®, Discover®, JCB®, MasterCard® und Visa®. Neben der Ausarbeitung und Aktualisierung der Standards ist der Rat bestrebt, die allgemeinen Standards der Kreditkartenbranche und die Branchenvorschriften zu verbessern. Um dieses Ziel zu erreichen, unterrichtet der Rat die Datenschutz- und Sicherheitsbranche über die Sicherheit von Kreditkartendaten. Darüber hinaus werden Schulungsprogramme und Sponsorenkonferenzen angeboten, um Unternehmen bei der Einhaltung der Richtlinien zu unterstützen.
Jedes Kreditkartenunternehmen, das am PCI Security Standards Council beteiligt ist, verlangt von Anbietern, die ihre Karten akzeptieren, dass sie den Branchenstandards für Zahlungskarten des Council entsprechen. Dies bedeutet, dass die Anbieter festlegen und überwachen müssen, wie ihre Systeme die in den Standards festgelegten Spezifikationen der Kreditkartenbranche umsetzen, wenn sie weiterhin Kreditkarten als Zahlungsmittel akzeptieren möchten. Kreditkartenunternehmen prüfen in der Regel die Einhaltung der Vorschriften durch große Unternehmen selbst jährlich. Kleinunternehmen dürfen ihre Einhaltung in der Regel selbst melden. Wenn sich herausstellt, dass ein Händler gegen die Bestimmungen verstößt, können je nach Schwere des Verstoßes Geldstrafen bis hin zum vollständigen Widerruf des Zahlungskartendienstes verhängt werden.