Schutz von Kreditkartendaten auf höchstem Niveau

MIDOCO Midoffice ist PCI/DSS (Level 1) zertifiziert

  
Kapitel I

Zahlung in der Reiseindustrie

Um zu verstehen wie Zahlung in der deutschen Reiseindustrie funktioniert, schauen wir uns als erstes die Teilnehmer und deren Beziehungen untereinander an. Die Geschäfte untereinander definieren die Prozesse, die im Hinblick auf die Zahlung entstehen. Je nachdem, wie sich diese Prozesse gestalten, ergeben sich auch Implikationen aus regulatorischen Themen, wie Datensicherheit und bspw., PSD2.

  
Kapitel II

Marktteilnehmer

Im touristischen Markt gibt es im Grunde vier Arten von Teilnehmern:

Leistungsträger

(Fluggesellschaften, Bahnunternehmen, Hotels)

Vermittler

(Reisebüros, Onlinereisebüros, Portale, Metasearcher)

Reiseveranstalter

(Pauschalreisen, Bausteinreisen)

Kunde

(Der Reisende selbst)

  
Kapitel III

Beziehungen zwischen Markteilnehmern

MIDOCO Midoffice, Zahlungsabwicklung in der Reiseindustrie

1. Leistungsträger mit Vermittlern

Der Leistungsträger vergütet ein Reisebüro, Reiseportal etc. für die Vermittlung einer Leistung. Diese kann prozentual oder in Form eines Entgelts oder auch einer Kombination erfolgen. Die Zahlung erfolgt je nach Absprache zwischen den Vertragspartnern. Macht der Leistungsträger das Direktinkasso (siehe auch Leistungsträger/Kunde), so wird er in der Regel den Reisepreis über Lastschrift, Überweisung oder per unterschiedlicher Zahlsysteme vom Kunden erhalten. Bei Agenturinkasso (siehe auch Vermittler / Kunde) durch den Vermittler zahlt der Kunde ebenfalls über angebotene Bezahlsysteme, wie Kreditkarte, Lastschrift o.ä. im Reisebüro oder dem Reiseportal. Bei An- und Restzahlung kann es dazu kommen, dass der Leistungsträger oder Vermittler Zahlungsinformationen speichert, um den Prozess der Restzahlung zu vereinfachen. Im Falle der Speicherung von Kreditkarteninformationen ist eine PCI/DSS Zertifizierung erforderlich.

2. Veranstalter mit Kunden

Übernimmt der Veranstalter das Inkasso (Direktinkasso), so verhält sich die Beziehung gleich wie zwischen dem Leistungsträger und dem Kunden. Hinzu kommt allerdings, dass der Veranstalter auch seine Geschäfte mit seinen Leistungsträgern abwickeln muss.

3. Vermittler mit Kunden

Übernimmt der Vermittler das Inkasso (Agenturinkasso), so muss der Vermittler, wie bereits im Abschnitt Leistungsträger/Vermittler beschrieben, Prozesse und Zahlung implementieren und die nötigen regulatorischen Anforderungen erfüllen.  Der Vermittler hat Bezahlmethoden entweder selbst direkt angebunden oder nutzt die Leistung von Onlinezahldiensten, die unterschiedliche Bezahlmethoden anbieten. Nutzt er die Onlinezahldienste, so finden die Zahlungen auf den Servern des Dienstes statt. Somit muss sich der Vermittler mit Hinblick auf Kreditkarten und PSD2 auf die Erfüllung durch den Onlinezahldienst verlassen können. Verarbeitet er Zahlungen selbst, so benötigt der Vermittler interne Prozesse, die eine sichere Abwicklung der Zahlungen gewährleisten.

4. Veranstalter mit Vermittlern

Veranstalter paketieren Reiseprodukte. Zahlungsströme erfolgen dann zwischen Veranstalter und Leistungsträger, Vermittler und oder Kunde. Ähnlich wie die Leistungsträger verkaufen Reiseveranstalter ihre Produkte direkt über eigene Kanäle wie Servicecenter oder Webseite oder indirekt über Vermittler wie Portale, Reisebüros oder Metasearcher. Die Beziehung verhält sich ähnlich wie zwischen Leistungsträger und Vermittler. Daraus ergeben sich demnach auch die gleichen Bezahlprozesse. Hier gilt genauso, wer Zahlungen annehmen will, muss die PSD2 erfüllen und einen Prozess zur starken Kundenauthentifizierung implementiert haben. Sollen Kreditkartendaten weiterverarbeitet werden, ist ggf. eine PCI/DSS Zertifizierung erforderlich.

5. Leistungsträger mit Veranstaltern

Der Veranstalter muss dem Leistungsträger die Leistung zum vereinbarten Einkaufspreis bezahlen. Je nach Absprache erfolgt die Zahlung per Rechnung in verabredeten Kontingenten zu bestimmten Zeitpunkten oder direkt zum Zeitpunkt des Verkaufs an den Kunden (dynamische Reiseveranstalter).

6. Leistungsträger mit Kunden (Direktinkasso)

Der Leistungsträger verkauft auch direkt an Kunden. Die Zahlung erfolgt wie beim Direktinkasso in der Beziehung zum Vermittler i.d.R. über Bezahlsysteme (Paypal, Sofortüberweisung o.ä.) und Kreditkarten, Überweisung oder Lastschrifteinzug. Bei An- und Restzahlung kann es dazu kommen, dass der Leistungsträger oder Zahlungsinformationen speichert, um den Prozess der Restzahlung zu vereinfachen. Im Falle der Speicherung von Kreditkarteninformationen ist eine PCI/DSS Zertifizierung erforderlich. Ab dem14.9.2019 sind nach der PSD2 auch geeignete Prozesse zur SCA (Strong Customer Authentication) einzusetzen.

  
Kapitel IV

Bezahlmöglichkeiten

Zahlungsströme können auf unterschiedliche Art erfolgen:

  • Bar (Offline)
  • Überweisung / Lastschrift (Offline, Digital/Online)
  • Kreditkarte (Digital /Online)
  • Onlinezahldienste wie Paypal, Klarna, Sofortüberweisung, PayOne,... (Digital /Online)

Der Verkäufer kann zudem entscheiden, ob er die digitalen Zahlungen eigenhändig abwickelt oder dazu einen Dienstleister engagiert. In beiden Fällen muss der Verkäufer für die Sicherheit der Zahlung und der dazugehörigen Daten sorgen. Bindet er die Bezahlmethoden in die eigene Prozesslandschaft ein, so obliegt ihm die Verantwortung die Sicherheitsvorkehrungen zu implementieren. Nutzt er einen Zahlungsdienstleister, so nimmt er die diesen Service im Zweifel durch den Zahlungsanbieter in Anspruch.

  
Kapitel V

Regulatorische Anforderungen

PCI/DSS/PSD2/GWG/KassenSichV

Im Rahmen der Annahme und/oder Verarbeitung von Zahlungen werden unterschiedliche Anforderungen an Unternehmen gestellt. Unternehmen müssen die Zahlungsdienste Richtlinie erfüllen. Insbesondere wird im Rahmen Erneuerung dieser Richtlichtline in der PSD2 (Payment Services Directive 2) eine starke Kundenauthentifizierung gefordert, die vor allem Betrug vorbeugen soll, in dem sichergestellt wird, dass der/die Zahlende auch berechtigt ist, die gewählte Zahlmethode zu nutzen. Ein Unternehmen, das zudem Kreditkartendaten speichert oder verarbeitet, ist verpflichtet die Anforderungen an PCI/DSS zu erfüllen. Die Erfüllung wird durch einen unabhängigen Dritten in einem jährlichen Audit festgestellt. Zuletzt sollte noch kurz erwähnt werden, dass auch Barzahlungen Regularien unterliegen. So lösen bspw. Zahlungen über 10.000 € im Rahmen des Geldwäschegesetzes eine erhöhte Sorgfaltspflicht bei KYC (Know Your Customer) Prozessen aus. Dieser Wert wurde im Zusammenhang der fünften Geldwäscherichtlinie von 15.000 € auf 10.000 € herab gesetzt.

Um Manipulation und somit potentielle Steuerhinterziehung zu verhindern wurde 2016 das Gesetz zum Schutz vor Manipulation an digitalen Grundaufzeichnungen,die Kassensicherungsverordnung (Kassen SichV) §146a AO, beschlossen, die seit dem 01.01.2020 in Kraft ist. Das MIDOCO Midoffice auch eine Kassenfunktion hat, ist diese neue Regelung im Midoffice zu berücksichtigen.

Contributors:

magnus

Magnus Kunhardt

Group Marketing Director

MIDOCO Team Steffen Faradi

Steffen Faradi

CEO & Mitbegründer

UMBRELLA Team Helmut Pilz

Helmut Pilz

SVP Business Development

Aus unserem Blog

Mehr Travel-Tech

Das war der E-Rechnungs- Gipfel im Oktober 2024
E-rechnungsgipfel 2024 l Berlin

Das war der E-Rechnungs- Gipfel im Oktober 2024

Nov 18, 2024 10:31:28 AM 3 min read
Business Travel Rockstar Interview - Tina Roos
Tina Roos - Bereichsleiterin Plattformen und Technologie bei Lufthansa City Center

Business Travel Rockstar Interview - Tina Roos

Oct 8, 2024 10:20:51 AM 3 min read
Midoco integriert das Zahlungsgateway von NXT-Travel

Midoco integriert das Zahlungsgateway von NXT-Travel

Sep 16, 2024 11:15:00 AM 1 min read