Sichere Zahlung: Standards und E-Commerce-Zertifizierungen

Die Sicherung von Transaktionen ist für jeden E-Commerce-Shop zu einer strategischen Herausforderung geworden. Nach Angaben der Banque de France betrug die Betrugquote bei Online-Zahlungen 2023 etwa 0,193 %, etwa 10-mal höher als bei Geschäften vor Ort. Angesichts dieses Risikos müssen Händler auf ein striktes Ökosystem von technischen Standards und regulatorischen Zertifizierungen setzen. Das Verständnis dieser Referenzdokumente ist keine Option: Es ist eine rechtliche, geschäftliche und versicherungstechnische Verpflichtung, die das Vertrauen der Verbraucher und die Nachhaltigkeit des Geschäfts bedingt.

PCI DSS: das globale Fundament der Kartensicherheit

Der Payment Card Industry Data Security Standard (PCI DSS), herausgegeben vom PCI Security Standards Council (Visa, Mastercard, American Express, Discover, JCB), ist das obligatorische Referenzdokument für jeden Akteur, der Kartendaten speichert, verarbeitet oder überträgt. Version 4.0, die seit dem 31. März 2024 vollständig gültig ist, schreibt 12 Hauptanforderungen vor, die in 6 Ziele unterteilt sind: Netzwerk sichern, Daten schützen, Schwachstellen verwalten, Zugang kontrollieren, Systeme überwachen und eine Sicherheitsrichtlinie aufrechterhalten.

Das Konformitätsniveau hängt vom Volumen der jährlichen Transaktionen ab:

• Stufe 1: über 6 Millionen Transaktionen/Jahr — jährliche Prüfung durch einen QSA (Qualified Security Assessor)

• Stufe 2: 1 bis 6 Millionen — Selbstbewertung SAQ + vierteljährlicher ASV-Scan

• Stufen 3 und 4: unter 1 Million — vereinfachte SAQ

Nichtkonformität führt zu Geldstrafen von 5.000 bis 100.000 € pro Monat oder zum Verlust der Kartenzahlungsgenehmigung.

3D Secure 2 und starke Authentifizierung (SCA)

Die starke Kundenauthentifizierung (Strong Customer Authentication) ist durch die europäische Richtlinie DSP2 (PSD2) und ihre technische Verordnung RTS vorgeschrieben und seit dem 15. Mai 2021 in Frankreich obligatorisch. Sie basiert auf der Kombination von mindestens zwei Faktoren aus: Wissen (Passwort), Besitz (Smartphone) und Inhärenz (Biometrie).

Das Protokoll 3D Secure 2.x (EMV 3DS) ersetzt die historische Version. Es ermöglicht eine Risikobewertung in Echtzeit anhand von über 100 Kontextdaten (Device Fingerprint, Verlauf, Warenkorb) und ermöglicht „friktionslose" Prozesse für Transaktionen mit geringem Risiko. Ergebnis: Erhaltung der Conversion-Rate und Übertragung der Betrugshaftung auf den Kartenaussteller (Liability Shift).

Tokenisierung, Verschlüsselung und zusätzliche Zertifizierungen

Die Tokenisierung ersetzt sensible Daten durch eine nicht nutzbare Kennung und reduziert den PCI-DSS-Umfang drastisch. In Kombination mit TLS-Verschlüsselung mindestens Version 1.2 (TLS 1.3 empfohlen) und mit FIPS 140-2 Level 3 zertifizierten HSMs (Hardware Security Modules) ist dies die aktuelle Best Practice.

Weitere Zertifizierungen erhöhen die Glaubwürdigkeit eines Online-Shops:

• ISO/IEC 27001: Informationssicherheitsmanagementsystem

• SOC 2 Type II: operative Kontrollen bei Cloud-Dienstleistern

• PSP-Zertifizierung durch die ACPR für Zahlungsinstitute

• eIDAS-Label für qualifizierte elektronische Signaturen

Geltender Rechtsrahmen in Frankreich und Europa

Neben DSP2 regeln mehrere Texte Online-Zahlungen: Der Code monétaire et financier (Artikel L.133-1 ff.) legt Haftungspflichten bei Betrug fest; die DSGVO (EU-Verordnung 2016/679) schreibt die Minimierung erhobener Bankdaten vor; die DORA-Verordnung (gültig seit Januar 2025) stärkt die operative digitale Widerstandsfähigkeit von Finanzakteuren. Die CNIL verhängt regelmäßig Bußgelder: 2023 wurden mehrere E-Commerce-Shops für nicht konforme CVV-Speicherung kritisiert.

Fazit

Die Sicherheit von Zahlungen beschränkt sich nicht darauf, Compliance-Kästchen anzukreuzen: Es ist eine direkte Investition in die Conversion-Rate und den Ruf. Ein Shop, der PCI DSS 4.0 konform ist, 3DS2 mit intelligenten Ausnahmen und Tokenisierung integriert, reduziert sowohl Betrug (bis zu -80 %) als auch Warenkorbabbrüche. Jährliche Audits des Zahlungsdienstleisters (PSP) und aktualisierte Compliance-Dokumentation sind unverzichtbar für jeden seriösen E-Commerce-Händler.