02. Dezember 2015

Warum PCI DSS als as-a-Service-Lösung Ihrem Geschäftsmodell mehr Freiheitsgrade bringt

PCI-DSS-Zertifizierung als Baustein - synaix bietet Security-as-a-Service│blog.synaix.de

Kreditkarten sind derzeit das verbreitete Zahlungsmittel im Internet: die Zahlung per Kreditkarte ermöglicht eine sofortige Zahlungszusage an den Verkäufer und stellt damit eine sofortige Transaktion und Kaufabwicklung sicher. Doch nicht jeder E-Commerce-Anbieter kann ohne weiteren Aufwand die Abrechnung per Kreditkarte selber durchführen, denn für das Processing der Kreditkartendaten ist die sogenannte PCI DSS Zertifizierung notwendig.

Zertifizierung: Schutz und Hürde

Der Payment Card Industry Data Security Standard (kurz PCI DSS) wurde von den Kreditkartenorganisationen als Branchenstandard für den Schutz von Kontodaten festgelegt. Er definiert die Sicherheitsanforderungen an Systeme, die Kreditkartendaten verarbeiten, und wird ständig weiterentwickelt. Die Zertifizierung für PCI DSS ist ein aufwändiger und komplexer Prozess. Kein Wunder, dass sich für E-Commerce-Anbieter eine ganze Zulieferer-Industrie entwickelt hat, die gegen weitere Gebühren das Processing der Kreditkartenzahlungen ermöglicht.

Bisher sind das vor allem Unternehmen aus der Finanzwelt. Sie bündeln die Abwicklung der PCI DSS Dienstleistung für ihre Kunden mit ihren sonstigen Leistungen wie dem Inkasso der Zahlung. Durch diesen weiteren Partner reduziert sich der Aufwand bei den E-Commerce-Anbietern, aber leider auch massiv die Möglichkeiten für neue Geschäftsmodelle.

Geschäftsmodelle mit Bündelungsabsicht: bisher ein Problem

Stellen wir uns beispielhaft vor, dass Sie ein Internetportal für Reisen betreiben. Sie bieten die Vermietung von Ferienappartements und Mietwagen an. Der Vorteil für Ihre Kunden ist die Buchung beider Komponenten über Ihr Portal als Paket, für das er einmal bezahlt und damit nur einmal seine Kreditkartendaten eingibt. In Hintergrund kommen diese separaten Leistungen jedoch von unterschiedlichen Lieferanten, und die Gesamtzahlung des Kunden muss aufgeteilt werden in zwei Einzahlzahlungen an das Mietwagenunternehmen und den Vermittler des Appartements.

Da die bisherigen Dienstleister dies nur eingeschränkt unterstützen, kann man als innovativer E-Commerce Anbieter entweder nur auf solche innovativen neuen Produkte verzichten, oder man muss durch die Hölle der eigenen PCI DSS Zertifizierung gehen.

Die Lösung: Security-as-a-Service

Damit die Umsetzung neuer digitaler Geschäftsmodelle nicht an den Beschränkungen der bisherigen Anbieter scheitert, hat synaix eine As-a-Service-Lösung für PCI DSS entworfen, die einfach über HTML oder Webservices eingebunden werden kann und die PCI-konforme Verarbeitung der Zahlungsinformation übernimmt.

Die Security-as-a-Service-Lösung von synaix bietet sich insbesondere für Geschäftsmodelle an, bei denen Leistungen aus unterschiedlichen Leistungsbestandteilen gebündelt werden: also Übernachtung mit Mietwagen oder Flug mit Auto. In der Reisebranche sind solche Paketierungen unter dem Begriff „Pauschalreise“ schon lange bekannt und etabliert. In vielen anderen Branchen sind solche Bündelungen – nicht zuletzt wegen der problematischen Zahlungsabwicklung – bislang noch unbekannt.

Neue Freiheiten für digitale Geschäftsmodelle

Sowohl der Reisebranche als auch allen anderen Branchen bietet synaix nun die Freiheit, neue Geschäftsideen zu entwickeln. Innovative Unternehmen und Startups können mit dem zertifizierten PCI DSS Baustein Security-as-a-Service ganz neue Produkte definieren, die Leistungen nach ihrem Nutzen und Marktfähigkeit bündeln, und nicht mehr nach der Abbildbarkeit des Zahlungsprozesses.

Wir sind gespannt auf die vielen neuen Geschäftsideen, die mit diesem „Sicherheit als Service“ Modell möglich werden!

(Michael Benden)

michael.benden

2 Kommentare:


[…] der Welt der digitalen Plattformen wird die Geld-Transaktion nur noch ein kleiner Baustein, eine „as a Service“ Leistung sein, aber keine margenträchtige Kernleistung mehr. Banken werden damit per se nicht mehr ihre […]


[…] die Erfüllung von PCI DSS-Anforderungen hat synaix gerade eine Lösung entwickelt, die es Webseitenbetreibern ermöglicht, die eigene Zertifizierung direkt über synaix […]