Jetzt starten  Sales-Team kontaktieren 

Payments

Umsatz

Geldmanagement

Plattformen und Marktplätze

Nach Phase
Nach Use Case
Nach Branche
Dokumentation
Leitfäden
Ressourcen
Wissenswertes
Support
Unternehmen
Jetzt starten  Sales-Team kontaktieren 

Was versteht man unter der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten? Bedeutung und Maßnahmen in Japan

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. Was versteht man unter der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten?
    1. Bedingungen zum Umsetzen der Nichtspeicherung bzw. Nichtaufbewahrung
  3. Wie wichtig es ist, Kreditkartendaten nicht zu speichern bzw. nicht aufzubewahren
  4. Methoden zur Unterstützung der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten
    1. Zahlungen weiterleiten
    2. JavaScript-Typ
  5. Wichtige Punkte bei der Implementierung der Nichtspeicherung/Nichtaufbewahrung von Kreditkartendaten
    1. Die PCI DSS Compliance ist obligatorisch, wenn der Ansatz der Nichtspeicherung/Nichtaufbewahrung nicht implementiert werden kann
    2. Risiko der versehentlichen Weiterleitung von Kartendaten
    3. Bedeutung von Gegenmaßnahmen gegen Manipulationen oder Ausnutzen von Schwachstellen
  6. Maßnahmen zur Vorbeugung von Kreditkartenbetrug, die E-Commerce-Unternehmen ergreifen müssen
    1. 3D Secure 2 zur Verbesserung der Identitätsprüfung verwenden
    2. Einsatz von Diensten zur Betrugserkennung, um Risiken zu visualisieren
  7. So kann Stripe Payments Sie unterstützen
  8. Jetzt mit Stripe starten 

Sobald E-Commerce-Unternehmen Kreditkarten akzeptieren, ist der sichere Umgang mit Kartendaten von Kundinnen und Kunden ein zentrales Thema. Neben den Bemühungen um eine Ausweitung der bargeldlosen Methoden stärkt die japanische Regierung die Zahlungssicherheit, indem sie eine Reihe von Richtlinien entwickelt hat. Diese sollen den Verkäuferinnen und Verkäufern helfen, Kartentransaktionen in einer sicheren Umgebung zu akzeptieren.

Vor diesem Hintergrund führen immer mehr Unternehmen Richtlinien und Praktiken ein, um die Speicherung bzw. die Aufbewahrung von Kartenangaben zu vermeiden, indem sie diese nicht selbst handhaben. Dieser Ansatz hat sich als einer der Schutzmechanismen etabliert, die digitale Shops verwenden müssen.

In diesem Artikel werden die grundlegenden Konzepte der Nichtspeicherung/Nichtaufbewahrung von Kreditkartendaten, ihre Bedeutung und die Maßnahmen erläutert, die E-Commerce-Unternehmen ergreifen müssen, um diesen Ansatz zu implementieren.

Worum geht es in diesem Artikel?

  • Was versteht man unter der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten?
  • Die Bedeutung der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten
  • Methoden zur Unterstützung der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten
  • Wichtige Punkte bei der Implementierung der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten
  • Maßnahmen zur Vorbeugung von Kreditkartenbetrug, die E-Commerce-Unternehmen ergreifen müssen
  • So kann Stripe Payments Sie unterstützen

Was versteht man unter der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten?

Mit der Ausweitung des bargeldlosen Bezahlvorgangs in Japan steigt auch das Risiko von Kreditkarten-Betrug und Rückbuchungen.

Eine Umfrage der Japan Consumer Credit Association zeigt, dass die Verluste aufgrund von Betrug mit Kreditkarten im Jahr 2024 ein Rekordhoch von etwa 55,5 Mrd. YEN erreichten. Infolgedessen sehen sich E-Commerce-Unternehmen nun zunehmendem Druck ausgesetzt, von Jahr zu Jahr immer ausgefeiltere Schutzmaßnahmen einzuführen.

Das Ministerium für Wirtschaft, Handel und Industrie (METI) hat Sicherheitsrichtlinien für Kreditkarten festgelegt, nach denen digitale Verkäufer/innen im Rahmen ihrer Maßnahmen zum Schutz von Kreditkartendaten eine der folgenden Vorschriften erfüllen müssen:

  • Compliance mit dem Payment Card Industry Data Security Standard (PCI DSS)
  • Nichtspeicherung bzw. Nichtaufbewahrung umsetzen

Zentral ist dabei, dass die Einhaltung des PCI DSS eine erhebliche Belastung für Systeme, Organisationsstruktur und Personal darstellt.

PCI DSS ist ein strenger Standard mit 12 Spezifikationen und Hunderten von spezifischen Anforderungen wie Firewalls, Protokollprüfung, Verschlüsselung und Zugriffskontrolle. All diesen gerecht zu werden, ist extrem schwierig.

Genau aus diesem Grund entscheiden sich viele E-Commerce-Unternehmen dafür, ihre Kartenverarbeitung an PCI DSS-konforme Zahlungsagenten auszulagern, anstatt selbst zu versuchen, die Anforderungen zu erfüllen. Denn so können sie den Umgang mit Kartendaten vermeiden und den Ansatz der Nichtspeicherung bzw. Nichtaufbewahrung verfolgen.

Bedingungen zum Umsetzen der Nichtspeicherung bzw. Nichtaufbewahrung

Die Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten bezieht sich auf E-Commerce-Unternehmen, die die Kartendaten ihrer Kundinnen und Kunden nicht auf ihren eigenen Servern oder Infrastrukturen speichern. Die einfache Vermeidung dieser Aufzeichnungen an einem Standort reicht jedoch nicht aus, um als „No-Storage-Ansatz“ zu gelten.

Konkret sind alle drei folgenden Bedingungen erforderlich:

  • Keine Kartendaten speichern/aufbewahren
  • Keine Kartendaten abwickeln
  • Keine Kartendaten über Ihre eigenen Server weiterleiten

In der Praxis muss das System so eingerichtet werden, dass es die von den Nutzer/innen eingegebenen Kartenangaben direkt an einen PCI-DSS-konformen Zahlungsabwickler übermittelt. So wird sichergestellt, dass die Daten niemals über den Server des E-Commerce-Verkäufers weitergeleitet werden.

Wie wichtig es ist, Kreditkartendaten nicht zu speichern bzw. nicht aufzubewahren

Bargeldlose Zahlungen haben sich in Japan für alltägliche Einkäufe und webbasierte Dienstleistungen durchgesetzt, und die Akzeptanz nimmt immer weiter zu. Als Reaktion auf diese Veränderungen im Bezahlvorgang hatte das METI angestrebt, die Liquiditätsquote bis Juni 2025 auf etwa 40 % zu verdoppeln. Bis 2024 war die Liquiditätsquote auf 42,8 % (141 Billionen YEN) angestiegen, sodass die Regierung ihr Ziel vorzeitig erreichen konnte.

Vor diesem Hintergrund werden bargeldlose Zahlungen und Kreditkarten-Transaktionen weiter zunehmen. Gleichzeitig steigt die Notwendigkeit, Bedrohungen wie Datenlecks, Betrug und Rückbuchungen anzugehen.

Solange Kreditkarten für bargeldlose Bezahlvorgänge von zentraler Bedeutung sind, wird der Schutz der Kundendaten für digitale Verkäufer/innen zu einem immer wichtigeren Anliegen. In diesem Rahmen ist die Nichtaufbewahrung, d. h. die Möglichkeit, ohne Speicherung oder Verarbeitung von Kartendaten innerhalb Ihres Unternehmens zu arbeiten, ein praktischer Ansatz, mit dem Unternehmen Online-Zahlungen weiterhin sicher akzeptieren können.

Methoden zur Unterstützung der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten

Bei der Implementierung der Nichtspeicherung bzw. Nichtaufbewahrung von Kreditkartendaten ist es wichtig, zunächst korrekt zu ermitteln, ob der Zahlungsablauf Ihres Unternehmens „pass-through“ oder „non-pass-through“ ist.

Beim Pass-Through-Modell werden Kreditkartennummern über die Server oder Netzwerke des Unternehmens weitergeleitet, wodurch das Risiko unbeabsichtigter Aufzeichnungsspuren in Logs, Backups, Überwachungstools und ähnlichen Systemen entsteht. In diesem Fall übernimmt die Organisation die Aufgabe der Speicherung/Aufbewahrung von Kartendaten und muss daher den Standard PCI DSS erfüllen.

Beim Non-Pass-Through-Modell hingegen kann das Unternehmen aufgrund der Tatsache, dass die interne Infrastruktur des Unternehmen die Kartendaten niemals berührt, den Status der Nichtspeicherung bzw. Nichtaufbewahrung erreichen, da das E-Commerce-Unternehmen die Daten nicht tatsächlich verarbeitet oder gespeichert hat. Viele digitale Verkäufer/innen wählen diese Non-Pass-Through-Methode, um die Belastung durch die PCI-DSS-Compliance zu reduzieren, doch vor allem um den Status eines No-Storage-Ansatzes erreichen.

Zahlungen weiterleiten

Die Weiterleitung oder Verlinkung von Zahlungen ist eine Methode, bei der Käufer/innen auf eine externe Seite weitergeleitet werden, um den Bezahlvorgang abzuschließen. Wenn der Bezahlvorgang selbst dem Zahlungsabwickler anvertraut wird, muss das E-Commerce-Unternehmen keine Kartendaten speichern, abwickeln oder übertragen.

Pay by Link – Zahlungen, die per E-Mail oder über die sozialen Medien gesendet werden (zu deutsch „Über Link bezahlen“) – stellen eine weitere Art des Bezahlvorgangs dar, die auf diesem Ansatz basiert. Dennoch werden Angriffe auf das Frontend gemeldet, einschließlich solcher, die die Ziel-URL umschreiben. Außerdem müssen grundlegende Sicherheitsmaßnahmen wie Schutzmaßnahmen gegen Bildschirmmanipulationen eingeführt werden.

JavaScript-Typ

Beim JavaScript-Typ (Token-System) wandelt der Browser der Käuferin oder des Käufers die Ziffern der Karte in einen Token um und der/die Verkäufer/in erhält genau diesen Token. Die tatsächlichen Ziffern werden direkt an den Zahlungsabwickler gesendet, sodass das E-Commerce Unternehmen die Daten niemals selbst verarbeitet.

Der Hauptvorteil liegt in der einfachen Einrichtung unter Beibehaltung des bestehenden Designs der Website. Das Risiko von Leckagen bleibt jedoch bestehen, da JavaScript-Dateien manipuliert werden können, was eine robuste Dateiverwaltung und Gegenmaßnahmen gegen Schwachstellen unerlässlich macht.

Wichtige Punkte bei der Implementierung der Nichtspeicherung/Nichtaufbewahrung von Kreditkartendaten

Durch die Implementierung der Nichtspeicherung/Nichtaufbewahrung von Kartendaten können digitale Shops Zahlungen abwickeln, ohne die Kartendaten selbst verarbeiten zu müssen. Je nach Einrichtung und Betriebsbedingungen ist es jedoch nicht immer möglich, den Ansatz der Nichtspeicherung/Nichtaufbewahrung von Kartendaten zu verfolgen. Als Nächstes widmen wir uns den wichtigsten Punkten bei einer ordnungsgemäßen Einführung der Nichtspeicherung/Nichtaufbewahrung.

Die PCI DSS Compliance ist obligatorisch, wenn der Ansatz der Nichtspeicherung/Nichtaufbewahrung nicht implementiert werden kann

Unternehmen sehen die Nichtspeicherung/Nichtaufbewahrung einerseits und die PCI-DSS-Compliance andererseits oft fälschlicherweise als „entweder/oder“-Optionen, die sich gegenseitig ausschließen. Der Übersichtlichkeit halber können sie wie folgt organisiert werden:

Werden Kreditkartendaten aufbewahrt bzw. gespeichert?

Anforderung der Compliance mit PCI DSS

Nicht aufbewahren

Nicht erforderlich, wenn die Informationen nicht gespeichert/aufbewahrt werden

Muss aufbewahrt werden

Erforderlich

Mit anderen Worten: Wenn Ihr Unternehmen die Nichtspeicherung bzw. Nichtaufbewahrung nicht umsetzen kann, müssen Sie sich bewusst sein, dass Sie die volle Last der PCI-DSS-Anforderungen tragen werden. Wenn beispielsweise eine Kartennummer einmal über die Server oder das Netzwerk Ihres Unternehmens läuft, gilt das E-Commerce-Unternehmen als Speicherort für die Kartendaten. Es muss den PCI DSS, den globalen Standard internationaler Kartenmarken, erfüllen.

Wie bereits erwähnt, erfordert PCI DSS die Einhaltung zahlreicher Standards, die sowohl technische als auch betriebliche Aspekte abdecken, sowie eine laufende Überwachung, was eine erhebliche Belastung für Organisationen darstellt. Aus diesem Grund setzen viele digitale Verkäufer/innen auf Non-Passthrough-Optionen und gehen zu einem No-Storage-Ansatz über, indem sie die interne Verarbeitung von Kartendaten vollständig vermeiden.

Risiko der versehentlichen Weiterleitung von Kartendaten

Bei einem Non-Pass-Through-Ansatz können Kartennummern in Logs, Backups, Testumgebungen, Überwachungstools und ähnlichen Systemen verbleiben, je nachdem, wie Teams sie konfigurieren. Solche temporären Aufzeichnungen können dazu führen, dass festgestellt wird, dass Kartendaten übertragen wurden, obwohl das Unternehmen annimmt, dass es seine Informationen nicht mehr speichert.

Da Funktionalitätsprüfungen beim Testen und bei Fehlerbehebungseinstellungen manchmal unverändert in die Live-Produktionsumgebung übertragen werden können, ist es notwendig, die Infrastruktur so zu gestalten, dass Kartendaten niemals von der Anwendung erfasst werden – von der Entwicklung bis zum Tagesbetrieb.

Bedeutung von Gegenmaßnahmen gegen Manipulationen oder Ausnutzen von Schwachstellen

Beim Einsatz von Non-Pass-Through-Systemen gibt es bestätigte Fälle von illegalem Zugriff auf Kartenaufzeichnungen durch Manipulationen auf der E-Commerce-Website selbst. Eingebettetes böswilliges JavaScript kann unabhängig von der Struktur der Website auftreten und kann über jede Methode entstehen, daher ist Vorsicht geboten.

Im Rahmen von Gegenmaßnahmen ist es wichtig, kontinuierlich grundlegende Sicherheitsprotokolle zu implementieren. Dazu gehören die Erkennung von Dateimanipulationen, das Schwachstellenmanagements, die Entfernung unnötiger Berechtigungen und rechtzeitige Updates für CMS und Plugins.

Maßnahmen zur Vorbeugung von Kreditkartenbetrug, die E-Commerce-Unternehmen ergreifen müssen

Sie können ein System implementieren, bei dem keine Daten aufbewahrt werden und somit der Umgang mit Kartendaten innerhalb Ihres eigenen Unternehmens wegfällt. Doch das heißt noch lange nicht, dass kein Risiko betrügerischer Aktivitäten mehr besteht. Online-Zahlungen sind anfällig für verschiedene Formen des Missbrauchs, einschließlich unbefugtem Diebstahl von Kartendaten, Zugriff mit hohem Risiko aus dem Ausland, Kreditmasterangriffen und Identitätsdiebstahl.

3D Secure 2 zur Verbesserung der Identitätsprüfung verwenden

3D Secure 2 gilt als wirksame Möglichkeit, die Identitätsprüfung für Online-Zahlungen zu verbessern. Es ermöglicht eine auf Geräteinformationen, Verhaltenssignalen und Transaktionsdetails basierende Risikobewertung und erfordert eine zusätzliche Authentifizierung ausschließlich für Fälle mit hoher Bedrohung.

Dies unterstützt einen ausgewogenen Ansatz, der den Komfort für legitime Nutzer/innen gewährleistet und gleichzeitig die Taten betrügerischer Akteurinnen und Akteuren erschwert, da eine zusätzliche Authentifizierung erforderlich ist.

Einsatz von Diensten zur Betrugserkennung, um Risiken zu visualisieren

Sie können Betrugserkennungsdienste wie Stripe Radar in Kombination mit 3D Secure anwenden. Die von Zahlungsabwicklern bereitgestellten Prüfungs-Tools analysieren Faktoren wie IP-Adressen, Gerätedetails, Bestellungsverlauf und Kaufverhalten umfassend, um jeder Transaktion eine Risikobewertung zuzuordnen.

Mit diesen Tools können Sie die folgenden Transaktionsmuster automatisch identifizieren:

  • Credit-Master-Brute-Force-Angriffe
  • Zugriff mit hohem Risiko von ausländischen IP-Adressen oder über VPNs
  • Plötzliche Änderungen von Beträgen, der Häufigkeit oder des Verhaltens
  • Betrugstrends nach Land oder Region

Da im grenzüberschreitenden E-Commerce immer mehr im Ausland ausgestellte Karten verwendet werden, kann die Einführung und Nutzung von 3D Secure 2 und anderen Betrugs-Erkennungsdiensten dazu beitragen, das Risiko unbefugter Aktivitäten zu verringern.

So kann Stripe Payments Sie unterstützen

Stripe Payments bietet eine einheitliche, globale Zahlungslösung, mit der jedes Unternehmen – von Start-ups bis hin zu globalen Konzernen – Zahlungen online, vor Ort und weltweit akzeptieren kann.

Mit Stripe Payments können Sie Folgendes umsetzen:

  • Bezahlvorgang optimieren: Schaffen Sie ein reibungsloses Kundenerlebnis und sparen Sie Tausende von Entwicklungsstunden mit vorgefertigten Zahlungs-Nutzeroberflächen, Zugang zu über 125 Zahlungsmethoden und Link, einer von Stripe entwickelten Wallet.
  • Neue Märkte schneller erschließen: Erreichen Sie Kundinnen und Kunden weltweit und reduzieren Sie die Komplexität und Kosten der Verwaltung mehrerer Währungen mit grenzüberschreitenden Zahlungsoptionen, die in 195 Ländern und über 135 Währungen verfügbar sind.
  • Online- und Vor-Ort-Zahlungen vereinheitlichen: Schaffen Sie Unified Commerce über Online- und Vor-Ort-Kanäle hinweg, um Interaktionen zu personalisieren, Treue zu belohnen und Ihren Umsatz zu steigern.
  • Zahlungs-Performance verbessern: Steigern Sie Ihren Umsatz mit einer Reihe anpassbarer, einfach zu konfigurierender Zahlungstools, darunter No-Code-Betrugsvorbeugung und erweiterte Funktionen zur Verbesserung der Autorisierungsquoten.
  • Schnelleres Wachstum dank einer flexiblen, zuverlässigen Plattform: Bauen Sie auf einer Plattform auf, die mit Ihnen mitwächst, mit einer historischen Erreichbarkeit von 99,999 % und branchenführender Zuverlässigkeit.

Erfahren Sie mehr darüber, wie Stripe Payments Sie bei Online- und Vor-Ort-Zahlungen unterstützen kann oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.
Proxying: stripe.com/de-lu/resources/more/nonretention-credit-card-information-japan