Common use of E-Commerce Clause in Contracts

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber PAYONE verpflichtet, alle gesetz- lichen Bestimmungen, insbesondere über Fernabsatzverträ- ge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang deutlich darauf hingewiesen wird, welche Inter- netadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungen, einschliesslich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer und etwaige besondere Lieferbedingungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- se, einschliesslich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von PAYONE für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich hinzuweisen. e) zusätzlich zu den in Ziff. 20.7 und 20.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen folgende Massnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebun- gen (z. B. der Entwicklungs-, Test- und Produktionsumge- bung) und der ordnungsgemässen Umsetzung des Prin- zips des geringsten Zugriffsrechts besondere Aufmerk- samkeit widmen, die als Grundlage eines soliden Identi- täts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfü- gen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen befreien, um sie zu schüt- zen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch ver- schiedene Anwendungen müssen gemäss dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass beschränkt werden. Um die Verwendung „gefälschter“ Websites (die rechtmässige Websites des VP nachahmen) einzuschrän- ken, müssen die Websites des VP, über die bezahlt wer- den kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen Ressourcen wie Netzwerken, Systemen, Datenban- ken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass beschränkt werden, e) Die Sicherheitsmassnahmen für Webseiten und Shopsys- tem müssen unter der Aufsicht der Risikomanagement- funktion getestet werden, um ihre Robustheit und Wirk- samkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss geplant, getestet, dokumentiert und geneh- migt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten Sicherheitsbedrohungen müssen die Tests regelmässig wiederholt werden und Szenarien für relevante und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmassnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen und unabhängigen (internen oder externen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- ten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung generell verboten ist oder dem VP die Rechtslage nicht be- kannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen die Authentifizierung der Karteninhaber und schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren über ein von PAYONE zugelassenes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argument „Transaktion nicht von Karteinhaber autori- siert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber und seine Bank nicht an den Sicher- heitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen Fällen bei privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich des VP. Die nachfolgend aufgeführten Voraussetzungen sind vorher mit dem Anbieter der verwende- ten Bezahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen werden wer- den (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahl- vorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internet- adresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse Abrechnungs- adresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregis- ternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütun- gen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige besondere LieferbedingungenLieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genauer genau- er Angabe, ab wann die Bezahlpflicht einsetzt und welche wel- che Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) zusätzlich zu den in Ziff. 20.7 20.2 und 20.820.3. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfolgungs- behörden Strafverfol- gungsbehörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 20.2 und 20.8 20.3 genannten Anforderungen folgende Massnahmen Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebun- gen Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ordnungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit widmenAufmerksamkeit wid- men, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen überflüs- sigen Funktionen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung Verwen- dung „gefälschter“ Websites (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzuschränken, müssen die Websites des VP, über die bezahlt wer- den werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche zweck- dienliche Protokolle und Überwachungsinformatio- nen Überwachungsinformationen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass Mindestmaß beschränkt werden, e) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen for- malen Änderungsmanagementprozess durch- laufendurchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss ordnungsgemäß geplant, getestet, dokumentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten beob- achteten Sicherheitsbedrohungen müssen die Tests regelmässig regelmäßig wiederholt werden und Szenarien für relevante relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässi- gen und unabhängigen (internen oder externen) Sachverständigen Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen operati- ven Management der eingesetzten Webseiten und Shopsysteme Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenenthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachweisennachwei- sen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtetrich- tet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung Leistung generell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Com- merce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen er- möglichen die Authentifizierung der Karteninhaber und schützen schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren Sicher- heitsverfahren über ein von BS PAYONE zugelassenes Bezahlsystem Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argument Argu- ment „Transaktion nicht von Karteinhaber autori- siertKarteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber Kar- teninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Voraussetzungen Vorausset- zungen sind vorher mit dem Anbieter der verwende- ten Bezahllösung verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwendenanzuwen- den. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen werden wer- den (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahl- vorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internet- adresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse Abrechnungs- adresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregis- ternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütun- gen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige besondere LieferbedingungenLieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genauer genau- er Angabe, ab wann die Bezahlpflicht einsetzt und welche wel- che Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) zusätzlich zu den in Ziff. 20.7 und 20.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfolgungs- behörden Strafverfol- gungsbehörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen folgende Massnahmen Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebun- gen Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ordnungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit widmenAufmerksamkeit wid- men, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen überflüs- sigen Funktionen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung Verwen- dung „gefälschter“ Websites (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzuschränken, müssen die Websites des VP, über die bezahlt wer- den werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche zweck- dienliche Protokolle und Überwachungsinformatio- nen Überwachungsinformationen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass Mindestmaß beschränkt werden, e) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen for- malen Änderungsmanagementprozess durch- laufendurchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss ordnungsgemäß geplant, getestet, dokumentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten beob- achteten Sicherheitsbedrohungen müssen die Tests regelmässig regelmäßig wiederholt werden und Szenarien für relevante relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässi- gen und unabhängigen (internen oder externen) Sachverständigen Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen operati- ven Management der eingesetzten Webseiten und Shopsysteme Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenenthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLot- terie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachweisennach- weisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung Leistung generell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard Mastercard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Com- merce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen er- möglichen die Authentifizierung der Karteninhaber und schützen schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren Sicher- heitsverfahren über ein von BS PAYONE zugelassenes Bezahlsystem Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argument Argu- ment „Transaktion nicht von Karteinhaber autori- siertKarteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber Kar- teninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Voraussetzungen Vorausset- zungen sind vorher mit dem Anbieter der verwende- ten Bezahllösung verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Web- 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich Kar- tennummereinschließlich Karten- nummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt ver- schlüsselt in dem jeweils von PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen ent- gegen genommen und übertragen werden (mindestens 128-Bit-Bit- SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalteneinzuhal- ten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene ange- gebene Internetadresse auf der Kartenabrechnung des Karteninhabers Karteninha- bers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebe- nen, über die Leistungen des VP abgewickelt werden, sind PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahlvor- gang deutlich darauf hingewiesen wird, welche Inter- netadresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregister- nummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütungen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer und etwaige besondere Lieferbedingungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskarten- daten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von PAYONE für Transaktionseinreichungen zugelassen wurden,, manuell b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Karteninhaber ein- fache Möglichkeiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden zwingen- den gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- Kündi- gungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung,Bestel- lung, 126 000.029 PAYONE (SHS 10700) (Fassung Feb. 2020) - v4.0 c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten der Karteninhaber Karten- inhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unterneh- men anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) zusätzlich zu den in Ziff. 20.7 und 20.8. 20.8 genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeitenStrafverfolgungsbehörden zusammenzuarbei- ten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten Zah- lungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermitteltübermit- telt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen Anforderun- gen folgende Massnahmen Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten : seiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebun- gen Umgebungen (z. B. der Entwicklungs-Ent- wicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ord- nungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit Aufmerksamkeit widmen, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist,. b) Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen Kommunikationsverbin- dungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen Funkti- onen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen Res- sourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung „gefälschter“ Websites Websi- tes (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzu- schränken, müssen die Websites des VP, über die bezahlt wer- den werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizie- rungsmethoden ähnlicher Art identifiziert werden,. c) der Der VP muss über geeignete Verfahren zur Überwachung, Verfolgung Ver- folgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten Zahlungs- daten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen Überwachungsinformationen erzeugen, speichern und auswerten,aus- werten. d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten Web- seiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil Bestandteil der Kernfunktionalität Kern- funktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass Mindestmaß beschränkt werden,. e) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit sicherzustellenWirksamkeit sicherzu- stellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufenÄnde- rungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss ordnungsgemäß geplant, getestet, dokumentiert doku- mentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen vorgenomme- nen Änderungen und der beobachteten Sicherheitsbedrohungen Sicherheitsbedrohun- gen müssen die Tests regelmässig regelmäßig wiederholt werden und Szenarien Sze- narien für relevante und bekannte potenzielle Angriffe beinhalten,bein- halten. f) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme Shop- systeme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässigen und unabhängigen (internen oder externen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein,. g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten ein- gesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenenthalten, die die Einhaltung Ein- haltung der in diesen AGB dargelegten Grundsätze und Leitlinien Leitli- nien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behördlichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung Leistung generell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten Interes- senten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen die Authentifizierung der Karteninhaber und schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren über ein von PAYONE zugelassenes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argument „Transaktion nicht von Karteinhaber autori- siertKarteninha- ber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber und seine Bank nicht an den Sicher- heitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten Kreditkarten weltweit; bei Business- und Firmenkarten Fir- menkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich Verantwortungsbe- reich des VP. Die nachfolgend aufgeführten Voraussetzungen sind vorher mit dem Anbieter der verwende- ten verwendeten Bezahllösung (Payment Service Provider) zu schaffen: - – Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - – Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen vorge- nommen und bestätigt. - – Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - – Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - – Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mas- terCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen werden wer- den (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber PAYONE verpflichtet, alle gesetz- lichen gesetzli- chen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahl- vorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internet- adresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse Abrechnungs- adresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregis- ternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütun- gen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige besondere LieferbedingungenLieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von PAYONE für Transaktionseinreichungen zugelassen wurdenwur- den, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genauer genau- er Angabe, ab wann die Bezahlpflicht einsetzt und welche wel- che Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) zusätzlich zu den in Ziff. 20.7 und 20.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich einschließlich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen folgende Massnahmen Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebun- gen Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ordnungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit widmenAufmerksamkeit wid- men, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen überflüs- sigen Funktionen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung Verwen- dung „gefälschter“ Websites (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzuschränken, müssen die Websites des VP, über die bezahlt wer- den werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen Ressourcen wie Netzwerken, Systemen, Datenban- ken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass Mindestmaß beschränkt werden, e) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen for- malen Änderungsmanagementprozess durch- laufendurchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss ordnungsgemäß geplant, getestet, dokumentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten beob- achteten Sicherheitsbedrohungen müssen die Tests regelmässig regelmäßig wiederholt werden und Szenarien für relevante relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmassnahmen Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässi- gen und unabhängigen (internen oder externen) Sachverständigen Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen operati- ven Management der eingesetzten Webseiten und Shopsysteme Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenenthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLot- terie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisennachwei- sen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung Leistung generell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard Mastercard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Com- merce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen er- möglichen die Authentifizierung der Karteninhaber und schützen schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren Sicher- heitsverfahren über ein von PAYONE zugelassenes Bezahlsystem Bezahlsy- stem ist eine Zahlungsrückgabe des Kunden mit dem Argument Argu- ment „Transaktion nicht von Karteinhaber autori- siertKarteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber Kar- teninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Voraussetzungen Vorausset- zungen sind vorher mit dem Anbieter der verwende- ten Bezahllösung verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von PAYONE B+S zugelassenen Verfahren Ver- fahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber PAYONE B+S verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhaltenein- zuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind PAYONE B+S unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Nieder- lassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige besondere LieferbedingungenLieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller KommunikationsmöglichkeitenKommunikationsmöglich- keiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von PAYONE B+S für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richtenein- zurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren Stornoverfah- ren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er es seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen. e) zusätzlich zu den in Ziff. 20.7 und 20.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen folgende Massnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebun- gen (z. B. der Entwicklungs-, Test- und Produktionsumge- bung) und der ordnungsgemässen Umsetzung des Prin- zips des geringsten Zugriffsrechts besondere Aufmerk- samkeit widmen, die als Grundlage eines soliden Identi- täts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfü- gen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen befreien, um sie zu schüt- zen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch ver- schiedene Anwendungen müssen gemäss dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass beschränkt werden. Um die Verwendung „gefälschter“ Websites (die rechtmässige Websites des VP nachahmen) einzuschrän- ken, müssen die Websites des VP, über die bezahlt wer- den kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen Ressourcen wie Netzwerken, Systemen, Datenban- ken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass beschränkt werden, e) Die Sicherheitsmassnahmen für Webseiten und Shopsys- tem müssen unter der Aufsicht der Risikomanagement- funktion getestet werden, um ihre Robustheit und Wirk- samkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss geplant, getestet, dokumentiert und geneh- migt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten Sicherheitsbedrohungen müssen die Tests regelmässig wiederholt werden und Szenarien für relevante und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmassnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen und unabhängigen (internen oder externen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- ten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE B+S auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 22.10 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber PAYONE B+S nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung generell Leistung gene- rell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 22.11 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen ) gel- ten als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführenAGB. Sie ermöglichen die Authentifizierung der Karteninhaber und schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren über ein von PAYONE B+S zugelassenes Bezahlsystem Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argument Argu- ment „Transaktion nicht von Karteinhaber autori- siertKarteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber Kar- teninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Voraussetzungen Voraussetzun- gen sind vorher mit dem Anbieter der verwende- ten Bezahllösung verwendeten Bezahllö- sung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider Provi- der vorgenommen und bestätigt. - Das Verfahren wurde bei PAYONE B+S aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwendenanzuwen- den. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren Verfah- ren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 (1) Der VP stellt sicher, dass die Kartendaten, einschliesslich Kar- tennummereinschließlich Kartennummer, Gültigkeitsdatum Gültig- keitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen genommen ge- nommen und übertragen werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 (2) Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 (3) Der VP ist auch gegenüber PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalten. 22.4 (4) Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse Interne- tadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 (5) Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebenen, über die Leistungen des VP abgewickelt werden, sind PAYONE unverzüglich mitzuteilen. 22.6 (6) Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internetadresse auf der Abrechnung erscheint. Soweit So- weit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 (7) Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) a. vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben Geschäftspapieren an- gegeben sein müssen; b) b. die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht Rückgabe- recht sowie die Abwicklung der Gutschriften; c) c. alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütungen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) d. wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige et- waige besondere Lieferbedingungen; e) e. spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet abge- rechnet wird;; xxx.xxxxxx.xxx f) f. einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) g. die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskartendaten; h) h. verfügbare Sicherheitsverfahren. 22.8 (8) Der VP verpflichtet sich, a) a. Preise nur in solchen Währungen anzugeben, die von PAYONE für Transaktionseinreichungen Transaktions- einreichungen zugelassen wurden, b) b. im Falle wiederkehrender Leistungen für den Karteninha- ber Karteninhaber einfache Möglichkeiten Möglich- keiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) c. im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten Möglich- keiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) d. sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) e. zusätzlich zu den in Ziff. 20.7 und 20.8. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeitenStrafverfolgungsbehörden zusammenzuar- beiten. 22.9 (9) Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgehtum- geht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen folgende Massnahmen Maßnahmen zu ergreifen: a) a. Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebun- gen Um- gebungen (z. B. der Entwicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ord- nungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit Aufmerksamkeit widmen, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements Zugriffs- managements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe derAufgabe erforderlich ist, b) b. Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, WebsitesWeb- sites, Server und Kommunikati- onsverbindungen Kommunikationsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte be- nötigte Daten und Ressourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung „gefälschter“ Websites (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzuschränken, müssen die Websites des VP, über die bezahlt wer- den be- zahlt werden kann, durch auf den Namen des VP ausgestellte Extended-ValidationValidati- on-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizierungsmethoden ähnlicher Art identifiziert identifi- ziert werden, c) der c. Der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung Zu- gangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen Sicher- heitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen Über- wachungsinformationen erzeugen, speichern und auswerten, d) d. Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil wesent- lichen Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler sen- sibler Zahlungsdaten muss auf ein absolutes Mindestmass Mindestmaß beschränkt werden, e) e. Die Sicherheitsmassnahmen Sicherheitsmaßnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufendurchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss Ände- rungen ordnungsgemäß geplant, getestet, dokumentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten Sicherheitsbedrohungen Sicherheitsbe- drohungen müssen die Tests regelmässig regelmäßig wiederholt werden und Szenarien für relevante und bekannte potenzielle Angriffe beinhalten,, BSP_PAYONE_AGB Belgien_2020-02-DE f) f. Die Sicherheitsmassnahmen Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässigen und unabhängigen (internen oder externenex- ternen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein, g) g. Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten Web- seiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenBestim- mungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 (10) Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen Ände- rungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 (11) Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behördlichen Erlaubnis bedürfen, insbesondere GlücksspieleGlücks- spiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung generell Leistung ge- nerell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten Interes- senten darauf deutlich hinweisen. 22.12 (12) Verified by Visa (VbV) und MasterCard Mastercard SecureCode (MSC), zusammen als „3DSecure3DSe- cure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen die Authentifizierung der Karteninhaber und schützen vor Kartenmissbrauch. Bei Verwendung Ver- wendung dieser Sicherheitsverfahren über ein von PAYONE zugelassenes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argument „Transaktion nicht von Karteinhaber autori- siertKar- teninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheitsverfahren teilnehmen. Die Haftungsumkehr Haf- tungsumkehr gilt in die- sen diesen Fällen bei privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich des VP. Die nachfolgend aufgeführten aufge- führten Voraussetzungen sind vorher mit dem Anbieter der verwende- ten verwendeten Bezahllösung (Payment Service Provider) zu schaffen: - • Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung Kenn- zeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - • Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard wurde durch den Payment Service Provider vorgenommen und bestätigt. - • Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - • Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - • Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 (1) Der VP stellt sicher, dass die Kartendaten, einschliesslich Kar- tennummereinschließlich Kartennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen genommen und übertragen werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 (2) Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 (3) Der VP ist auch gegenüber PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalten. 22.4 (4) Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 (5) Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebenen, über die Leistungen des VP abgewickelt werden, sind PAYONE unverzüglich mitzuteilen. 22.6 (6) Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 (7) Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) a. vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) b. die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) c. alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütungen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) d. wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige besondere Lieferbedingungen; e) e. spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) f. einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) g. die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskartendaten; h) h. verfügbare Sicherheitsverfahren. 22.8 (8) Der VP verpflichtet sich, a) a. Preise nur in solchen Währungen anzugeben, die von PAYONE für Transaktionseinreichungen zugelassen wurden, b) b. im Falle wiederkehrender Leistungen für den Karteninha- ber Karteninhaber einfache Möglichkeiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) c. im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) d. sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) e. zusätzlich zu den in Ziff. 20.6 und 20.7 und 20.8. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden Aufsichtsbehörden sowie Strafverfolgungsbehörden zusammenzuarbeiten. 22.9 (9) Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.6 und 20.7 und 20.8 genannten Anforderungen folgende Massnahmen Maßnahmen zu ergreifen: a) a. Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebun- gen IT- Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ordnungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit Aufmerksamkeit widmen, die als Grundlage eines soliden Identi- täts- Identitäts- und PAYONE GmbH, Stand 06/2022 Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) b. Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen Kommunikationsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung „gefälschter“ Websites (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzuschränken, müssen die Websites des VP, über die bezahlt wer- den werden kann, durch auf den Namen des VP ausgestellte Extended-Extended- Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) c. der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen Überwachungsinformationen erzeugen, speichern und auswerten, d) d. Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/und/ oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass Mindestmaß beschränkt werden, e) e. Die Sicherheitsmassnahmen Sicherheitsmaßnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufendurchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss ordnungsgemäß geplant, getestet, dokumentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten Sicherheitsbedrohungen müssen die Tests regelmässig regelmäßig wiederholt werden und Szenarien für relevante und bekannte potenzielle Angriffe beinhalten, f) f. Die Sicherheitsmassnahmen Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässigen und unabhängigen (internen oder externen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein, g) g. Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenenthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 (10) Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 (11) Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behördlichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung Leistung generell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by (12) Visa (VbV) Secure und MasterCard SecureCode (MSC)Mastercard SecureCode, zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführen. Der VP ist verpflichtet, die jeweils aktuellen Authentifizierungsverfahren der Kartenorganisationen (wie beispielsweise derzeit „Visa Secure“ für Visa-/Visa Electron-Kartenumsätze und „Mastercard SecureCode“ (zukünftig PAYONE_10700_AGB_2022-06_DE „Mastercard Identity Check“)/„Maestro SecureCode“ von Mastercard für Mastercard- und Maestro-Kartenumsätze) oder ein sonstiges dem VP nach diesem Vertrag mitgeteiltes Verfahren zur starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG mittels einer zertifizierten Software zu verwenden. Sie ermöglichen die Authentifizierung der Karteninhaber und schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren über ein von PAYONE zugelassenes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argument „Transaktion nicht von Karteinhaber autori- siertKarteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die Authentifikationsdaten des Kunden im Autorisierungs- und Clearingdatensatz sind gemäß den dafür gültigen gesetzlichen Vorgaben an Visa, Mastercard oder anderen jeweils einschlägigen Kartenorganisationen oder PAYONE zu übermitteln. Sollte der VP, aufgrund separater Vereinbarung mit PAYONE, eine nach Kapitel III VO (EU) 2018/389 zugelassene Ausnahme nutzen, erkennt der VP an, dass die Nutzung einer solchen Ausnahme für den Fall des Kartenmissbrauchs auf eigenes Risiko geschieht. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich des VP. Die nachfolgend aufgeführten Voraussetzungen sind vorher vom VP mit dem seinem Anbieter der verwende- ten verwendeten Bezahllösung (Payment Service Provider) zu schaffen: - Allgemeine Geschäftsbedingungen • Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - • Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard oder anderen jeweils einschlägigen Kartenorganisationen wurde durch den Payment Service Provider vorgenommen und bestätigt. - • Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - • Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - • Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 (1) Der VP stellt sicher, dass die Kartendaten, einschliesslich Kar- tennummerKartennummer, Gültigkeitsdatum Gültig- keitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen genommen ge- nommen und übertragen werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 (2) Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 (3) Der VP ist auch gegenüber PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalten. 22.4 (4) Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse Interne- tadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 (5) Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebenen, über die Leistungen des VP abgewickelt werden, sind PAYONE unverzüglich mitzuteilen. 22.6 (6) Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Inter- netadresse Internetadresse auf der Abrechnung erscheint. Soweit So- weit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 (7) Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) a. vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben Geschäftspapieren an- gegeben sein müssen; b) b. die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht Rückgabe- recht sowie die Abwicklung der Gutschriften; c) c. alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütungen, einschliesslich derer für Versand, Verpackung und Steuern; d) d. wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer Bestimmungsländer und etwaige et- waige besondere Lieferbedingungen; e) e. spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet abge- rechnet wird; f) f. einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich aller Kommunikationsmöglichkeiten; g) g. die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskartendaten; h) h. verfügbare Sicherheitsverfahren. 22.8 (8) Der VP verpflichtet sich, a) a. Preise nur in solchen Währungen anzugeben, die von PAYONE für Transaktionseinreichungen Transaktions- einreichungen zugelassen wurden, b) b. im Falle wiederkehrender Leistungen für den Karteninha- ber Karteninhaber einfache Möglichkeiten Möglich- keiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) c. im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten Möglich- keiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) d. sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unternehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen. e) e. zusätzlich zu den in Ziff. 20.7 und 20.8. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen Zahlungssicherheitsvorfällen einschliesslich Datenschutzverletzungen, mit PAYONE selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeiten.Strafverfolgungsbehörden zusammenzuar- beiten. xxx.xxxxxx.xxx 22.9 (9) Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgehtum- geht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 und 20.8 genannten Anforderungen folgende Massnahmen zu ergreifen: a) a. Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebun- gen Um- gebungen (z. B. der Entwicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ord- nungsgemässen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit Aufmerksamkeit widmen, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements Zugriffs- managements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) b. Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, WebsitesWeb- sites, Server und Kommunikati- onsverbindungen Kommunikationsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte be- nötigte Daten und Ressourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss ge- mäss dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass beschränkt werden. Um die Verwendung „gefälschter“ Websites (die rechtmässige Websites des VP nachahmen) einzuschrän- keneinzuschränken, müssen die Websites des VP, über die bezahlt wer- den be- zahlt werden kann, durch auf den Namen des VP ausgestellte Extended-ValidationValidati- on-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizierungsmethoden ähnlicher Art identifiziert identifi- ziert werden, c) c. der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung Zu- gangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen Sicher- heitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen Über- wachungsinformationen erzeugen, speichern und auswerten, d) d. Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil wesent- lichen Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler sen- sibler Zahlungsdaten muss auf ein absolutes Mindestmass beschränkt werden, e) e. Die Sicherheitsmassnahmen für Webseiten und Shopsys- tem Shopsystem müssen unter der Aufsicht der Risikomanagement- funktion Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirk- samkeit Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufendurchlaufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss Ände- rungen ordnungsgemäss geplant, getestet, dokumentiert und geneh- migt genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten Sicherheitsbedrohungen Sicherheitsbe- drohungen müssen die Tests regelmässig wiederholt werden und Szenarien für relevante und bekannte potenzielle Angriffe beinhalten, f) f. Die Sicherheitsmassnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen zuverlässigen und unabhängigen (internen oder externenex- ternen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein, g) g. Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten Web- seiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- tenBestim- mungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 (10) Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen Ände- rungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 (11) Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen behördlichen Erlaubnis bedürfen, insbesondere GlücksspieleGlücks- spiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung generell Leistung ge- nerell verboten ist oder dem VP die Rechtslage nicht be- kannt bekannt ist, wird es die Interessenten Interes- senten darauf deutlich hinweisen. 22.12 (12) Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen er- möglichen die Authentifizierung der Karteninhaber und schützen vor KartenmissbrauchKartenmiss- brauch. Bei Verwendung dieser Sicherheitsverfahren über ein von PAYONE zugelassenes zugelas- senes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argument BSP_10820CHDE_2020-02_DE „Transaktion nicht von Karteinhaber autori- siertautorisiert“ nicht mehr möglich (HaftungsumkehrHaftungsum- kehr). Das gilt auch wenn der Karteninhaber und seine Bank nicht an den Sicher- heitsverfahren Sicherheits- verfahren teilnehmen. Die Haftungsumkehr gilt in die- sen diesen Fällen bei privaten Kreditkarten Kredit- karten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich Verantwor- tungsbereich des VP. Die nachfolgend aufgeführten Voraussetzungen sind vorher mit dem Anbieter der verwende- ten verwendeten Bezahllösung (Payment Service Provider) zu schaffen: - • Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung Kenn- zeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - • Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - • Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - • Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - • Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschliesslich Kar- tennummereinschließlich Karten- nummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt ver- schlüsselt in dem jeweils von PAYONE B+S zugelassenen Verfahren übermittelt übermit- telt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus ver- gleichbaren Verschlüsselungsalgorithmus im Internet entgegen genommen und übertragen werden (mindestens 128-Bit-SSL-SSL- Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber PAYONE B+S verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträ- geFernabsatzverträge, einzuhalteneinzuhal- ten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene ange- gebene Internetadresse auf der Kartenabrechnung des Karteninhabers Karteninha- bers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebe- nen, über die Leistungen des VP abgewickelt werden, sind PAYONE B+S unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Be- zahlvorgang Bezahlvor- gang deutlich darauf hingewiesen wird, welche Inter- netadresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungsadresse ein Hinweis, Link oder eine Weiterlei- tung Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internet- seiteInternetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsre- gisternummerHandelsregister- nummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergü- tungenVergütungen, einschliesslich einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestim- mungsländer und etwaige besondere Lieferbedingungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adres- seAdresse, einschliesslich einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von PAYONE B+S für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Karteninhaber ein- fache Möglichkeiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden zwingen- den gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- Kündi- gungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genauer Angabe, ab wann die Bezahlpflicht einsetzt und welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Un- ternehmen Unter- nehmen anbietet (sog. Links), auf diesen Wechsel aus- drücklich ausdrücklich hinzuweisen., e) zusätzlich zu den in Ziff. 20.7 20.2 und 20.820.3. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder 22.9 übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschliesslich Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit PAYONE B+S selbst und den zuständigen Strafverfolgungs- behörden zusammenzuarbeiten. 22.9 Strafverfolgungsbehörden zusammenzu- arbeiten. Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. d. h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.7 20.2 und 20.8 20.3 genannten Anforderungen folgende Massnahmen Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten Web- seiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebun- gen Umgebungen (z. B. der Entwicklungs-Ent- wicklungs-, Test- und Produktionsumge- bungProduktionsumgebung) und der ordnungsgemässen ord- nungsgemäßen Umsetzung des Prin- zips Prinzips des geringsten Zugriffsrechts besondere Aufmerk- samkeit Aufmerksamkeit widmen, die als Grundlage eines soliden Identi- täts- Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Mass Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist,. b) Der VP muss über geeignete Sicherheitslösungen verfü- genverfügen, um Netzwerke, Websites, Server und Kommunikati- onsverbindungen Kommunikationsverbin- dungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüssigen Funktionen Funkti- onen befreien, um sie zu schüt- zen schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen Res- sourcen durch ver- schiedene verschiedene Anwendungen müssen gemäss gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmass Mindestmaß beschränkt werden. Um die Verwendung „gefälschter“ Websites Websi- tes (die rechtmässige rechtmäßige Websites des VP nachahmen) einzuschrän- keneinzu- schränken, müssen die Websites des VP, über die bezahlt wer- den werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifi- zierungsmethoden Authentifizie- rungsmethoden ähnlicher Art identifiziert werden,. 126 000.028 (SHS 10700) – Fassung Juli 2016 - v3.8 - o c) der Der VP muss über geeignete Verfahren zur Überwachung, Verfolgung Ver- folgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten Zahlungs- daten und ii) kritischen logischen und physi- schen physischen Ressourcen wie Netzwerken, Systemen, Datenban- kenDatenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweckdienliche Protokolle und Überwachungsinformatio- nen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmass beschränkt werden, e) Die Sicherheitsmassnahmen für Webseiten und Shopsys- tem müssen unter der Aufsicht der Risikomanagement- funktion getestet werden, um ihre Robustheit und Wirk- samkeit sicherzustellen. Sämtliche Änderungen müssen einen formalen Änderungsmanagementprozess durch- laufen, um sicherzustellen, dass alle Änderungen ord- nungsgemäss geplant, getestet, dokumentiert und geneh- migt werden. Auf Basis der vorgenommenen Änderungen und der beobachteten Sicherheitsbedrohungen müssen die Tests regelmässig wiederholt werden und Szenarien für relevante und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmassnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmässigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuver- lässigen und unabhängigen (internen oder externen) Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operativen Management der eingesetzten Webseiten und Shopsysteme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthal- ten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behördli- chen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber PAYONE nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP richtet, eine Erlaubnis nicht vorliegt oder die betreffende Leis- tung generell verboten ist oder dem VP die Rechtslage nicht be- kannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonde- res Sicherheitsverfahren“ im Sinne der AGB und sind für E-Commerce Transaktionen zwingend vom VP einzuführen. Sie ermöglichen die Authentifizierung der Karteninhaber und schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicherheitsverfahren über ein von PAYONE zugelassenes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argument „Transaktion nicht von Karteinhaber autori- siert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Karteninhaber und seine Bank nicht an den Sicher- heitsverfahren teilnehmen. Die Haftungsumkehr gilt in die- sen Fällen bei privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungsbereich des VP. Die nachfolgend aufgeführten Voraussetzungen sind vorher mit dem Anbieter der verwende- ten Bezahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.