Common use of E-Commerce Clause in Contracts

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen wer- den (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang deutlich darauf hingewiesen wird, welche Internet- adresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- gen, einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige besondere Lieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genau- er Angabe, ab wann die Bezahlpflicht einsetzt und wel- che Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) zusätzlich zu den in Ziff. 20.2 und 20.3. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 und 20.3 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- men, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung „gefälschter“ Websites (die rechtmäßige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche Protokolle und Überwachungsinformationen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen und unabhängigen (internen oder externen) Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven Management der eingesetzten Webseiten und Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen die Authentifizierung der Karteninhaber und schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment „Transaktion nicht von Karteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Vorausset- zungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- den. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich einschliesslich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen wer- den werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen Bestimmungen, insbesondere über FernabsatzverträgeFernabsatzverträ- ge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Be- zahlvorgang deutlich darauf hingewiesen wird, welche Internet- adresse Inter- netadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung Weiterlei- tung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer InternetseiteInternet- seite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsre- gisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- genVergü- tungen, einschließlich einschliesslich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer Bestim- mungsländer und etwaige besondere Lieferbedin- gungenLieferbedingungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger AdresseAdres- se, einschließlich einschliesslich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Unternehmen Un- ternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich aus- drücklich hinzuweisen,. e) zusätzlich zu den in Ziff. 20.2 20.7 und 20.320.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschließlich einschliesslich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden Strafverfolgungs- behörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 20.7 und 20.3 20.8 genannten Anforderungen folgende Maßnahmen Massnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebungen Umgebun- gen (z. B. der Entwicklungs-, Test- und ProduktionsumgebungProduktionsumge- bung) und der ordnungsgemäßen ordnungsgemässen Umsetzung des Prinzips Prin- zips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- menAufmerk- samkeit widmen, die als Grundlage eines soliden Identitäts- Identi- täts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß Mass an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfügenverfü- gen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen Kommunikati- onsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen überflüssigen Funktionen befreien, um sie zu schützen schüt- zen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch verschiedene ver- schiedene Anwendungen müssen gemäß gemäss dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß Mindestmass beschränkt werden. Um die Verwen- dung Verwendung „gefälschter“ Websites (die rechtmäßige rechtmässige Websites des VP nachahmen) einzuschränkeneinzuschrän- ken, müssen die Websites des VP, über die bezahlt werden wer- den kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden Authentifi- zierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen physi- schen Ressourcen wie Netzwerken, Systemen, DatenbankenDatenban- ken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen Überwachungsinformatio- nen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß Mindestmass beschränkt werden, e) Die Sicherheitsmaßnahmen Sicherheitsmassnahmen für Webseiten und Shopsystem Shopsys- tem müssen unter der Aufsicht der Risikomanagementfunktion Risikomanagement- funktion getestet werden, um ihre Robustheit und Wirksamkeit Wirk- samkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen formalen Änderungsmanagementprozess durchlaufendurch- laufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß ord- nungsgemäss geplant, getestet, dokumentiert und genehmigt geneh- migt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten beobachteten Sicherheitsbedrohungen müssen die Tests regelmäßig regelmässig wiederholt werden und Szenarien für relevan- te relevante und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmaßnahmen Sicherheitsmassnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen regelmässigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen zuver- lässigen und unabhängigen (internen oder externen) Sachver- ständigen Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven operativen Management der eingesetzten Webseiten und Shop- systeme Shopsysteme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthaltenenthal- ten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen behördli- chen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sennachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung Leis- tung generell verboten ist oder dem VP die Rechtslage nicht bekannt be- kannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Besonde- res Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Commerce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen ermöglichen die Authentifizierung der Karteninhaber und schüt- zen schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren Sicherheitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment Argument „Transaktion nicht von Karteninhaber autorisiertKarteinhaber autori- siert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber Karteninhaber und seine Bank nicht an den Sicherheitsverfahren Sicher- heitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen die- sen Fällen bei pri- vaten privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich Verantwortungsbereich des VP. Die nachfolgend aufgeführten Vorausset- zungen Voraussetzungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung verwende- ten Bezahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Web- 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummerKarten- nummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt ver- schlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen ent- gegen genommen und übertragen wer- den werden (mindestens 128-Bit-Bit- SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalteneinzuhal- ten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene ange- gebene Internetadresse auf der Kartenabrechnung des Karteninhabers Karteninha- bers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebe- nen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Bezahlvor- gang deutlich darauf hingewiesen wird, welche Internet- adresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsregister- nummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- genVergütungen, einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer Bestim- mungsländer und etwaige besondere Lieferbedin- gungenLieferbedingungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskarten- daten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden,, manuell b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Karteninhaber ein- fache Möglichkeiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden zwingen- den gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- Kündi- gungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung,Bestel- lung, 126 000.029 PAYONE (SHS 10700) (Fassung Feb. 2020) - v4.0 c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che welche Möglichkeiten der Karteninhaber Karten- inhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Unternehmen Unterneh- men anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) zusätzlich zu den in Ziff. 20.2 20.7 und 20.3. 20.8 genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeitenStrafverfolgungsbehörden zusammenzuarbei- ten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten Zah- lungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermitteltübermit- telt, zusätzlich zu den in Ziff. 20.2 20.7 und 20.3 20.8 genannten Anforderungen Anforderun- gen folgende Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten : seiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebungen (z. B. der Entwicklungs-Ent- wicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen ord- nungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- menwidmen, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist,. b) Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen Kommunikationsverbin- dungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen Funktionen überflüssigen Funkti- onen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen Res- sourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung Verwendung „gefälschter“ Websites Websi- tes (die rechtmäßige Websites des VP nachahmen) einzuschränkeneinzu- schränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden Authentifizie- rungsmethoden ähnlicher Art identifiziert werden,. c) der Der VP muss über geeignete Verfahren zur Überwachung, Verfolgung Ver- folgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten Zahlungs- daten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen erzeugen, speichern und auswerten,aus- werten. d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten Web- seiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil Bestandteil der Kernfunktionalität Kern- funktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden,. e) Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellensicherzu- stellen. Sämtliche Änderungen müssen einen for- malen Änderungsmanagementprozess formalen Ände- rungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert doku- mentiert und genehmigt werden. Auf Basis der vorgenommenen vorgenomme- nen Änderungen und der beob- achteten Sicherheitsbedrohungen beobachteten Sicherheitsbedrohun- gen müssen die Tests regelmäßig wiederholt werden und Szenarien Sze- narien für relevan- te relevante und bekannte potenzielle Angriffe beinhalten,bein- halten. f) Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme Shop- systeme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen zuverlässigen und unabhängigen (internen oder externen) Sachver- ständigen Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven operativen Management der eingesetzten Webseiten und Shop- systeme Shopsysteme beteiligt sein,. g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten ein- gesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung Ein- haltung der in diesen AGB dargelegten Grundsätze und Leitlinien Leitli- nien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen behördlichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sennachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten Interes- senten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Commerce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen ermöglichen die Authentifizierung der Karteninhaber und schüt- zen schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren Sicherheitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment Argument „Transaktion nicht von Karteninhaber Karteninha- ber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber Karteninhaber und seine Bank nicht an den Sicherheitsverfahren Sicher- heitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten privaten Kreditkarten weltweit; bei Business- und Firmenkarten Fir- menkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich Verantwortungsbe- reich des VP. Die nachfolgend aufgeführten Vorausset- zungen Voraussetzungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung Bezahllösung (Payment Service Provider) zu schaffen: - – Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - – Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen vorge- nommen und bestätigt. - – Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - – Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - – Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mas- terCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen wer- den (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen gesetzli- chen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang deutlich darauf hingewiesen wird, welche Internet- adresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- gen, einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige besondere Lieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurdenwur- den, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genau- er Angabe, ab wann die Bezahlpflicht einsetzt und wel- che Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) zusätzlich zu den in Ziff. 20.2 20.7 und 20.320.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden Strafverfolgungs- behörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 20.7 und 20.3 20.8 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- men, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung „gefälschter“ Websites (die rechtmäßige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen physi- schen Ressourcen wie Netzwerken, Systemen, DatenbankenDatenban- ken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen Überwachungsinformatio- nen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen und unabhängigen (internen oder externen) Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven Management der eingesetzten Webseiten und Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLot- terie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard Mastercard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen die Authentifizierung der Karteninhaber und schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system Bezahlsy- stem ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment „Transaktion nicht von Karteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Vorausset- zungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 (1) Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummereinschliesslich Kartennummer, Gültigkeitsdatum Gültig- keitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen genommen ge- nommen und übertragen wer- den werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 (2) Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 (3) Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalten. 22.4 (4) Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse Interne- tadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 (5) Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 (6) Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Internet- adresse Internetadresse auf der Abrechnung erscheint. Soweit So- weit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 (7) Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) a. vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsregisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben Geschäftspapieren an- gegeben sein müssen; b) b. die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht Rückgabe- recht sowie die Abwicklung der Gutschriften; c) c. alle für die Leistung an den VP zu entrichtenden Vergütun- genVergütungen, einschließlich einschliesslich derer für Versand, Verpackung und Steuern; d) d. wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige et- waige besondere Lieferbedin- gungenLieferbedingungen; e) e. spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet abge- rechnet wird; f) f. einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich einschliesslich aller Kommunikationsmöglichkeiten; g) g. die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskartendaten; h) h. verfügbare Sicherheitsverfahren. 22.8 (8) Der VP verpflichtet sich, a) a. Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen Transaktions- einreichungen zugelassen wurden, b) b. im Falle wiederkehrender Leistungen für den Karteninha- ber Karteninhaber einfache Möglichkeiten Möglich- keiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) c. im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che Möglichkeiten welche Möglich- keiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) d. sofern er seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen,. e) e. zusätzlich zu den in Ziff. 20.2 20.7 und 20.320.8. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschließlich Zahlungssicherheitsvorfällen einschliesslich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeitenStrafverfolgungsbehörden zusammenzuar- beiten. ▇▇▇.▇▇▇▇▇▇.▇▇▇ 22.9 (9) Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgehtum- geht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 20.7 und 20.3 20.8 genannten Anforderungen folgende Maßnahmen Massnahmen zu ergreifen: a) a. Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebungen Um- gebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen ord- nungsgemässen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- menwidmen, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements Zugriffs- managements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß Mass an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) b. Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, WebsitesWeb- sites, Server und Kommunikationsver- bindungen Kommunikationsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen überflüssigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte be- nötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß ge- mäss dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß Mindestmass beschränkt werden. Um die Verwen- dung Verwendung „gefälschter“ Websites (die rechtmäßige rechtmässige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt be- zahlt werden kann, durch auf den Namen des VP ausgestellte Extended-ValidationValidati- on-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert identifi- ziert werden, c) c. der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung Zu- gangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen Sicher- heitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen Über- wachungsinformationen erzeugen, speichern und auswerten, d) d. Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil wesent- lichen Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler sen- sibler Zahlungsdaten muss auf ein absolutes Mindestmaß Mindestmass beschränkt werden, e) e. Die Sicherheitsmaßnahmen Sicherheitsmassnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen formalen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß Ände- rungen ordnungsgemäss geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen beobachteten Sicherheitsbe- drohungen müssen die Tests regelmäßig regelmässig wiederholt werden und Szenarien für relevan- te relevante und bekannte potenzielle Angriffe beinhalten, f) f. Die Sicherheitsmaßnahmen Sicherheitsmassnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen regelmässigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen zuverlässigen und unabhängigen (internen oder externenex- ternen) Sachver- ständigen Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven operativen Management der eingesetzten Webseiten und Shop- systeme Shopsysteme beteiligt sein, g) g. Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten Web- seiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen Bestim- mungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 (10) Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen Ände- rungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 (11) Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen behördlichen Erlaubnis bedürfen, insbesondere GlücksspieleGlücks- spiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sennachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell ge- nerell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten Interes- senten darauf deutlich hinweisen. 22.12 (12) Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Commerce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen die Authentifizierung der Karteninhaber und schüt- zen schützen vor KartenmissbrauchKartenmiss- brauch. Bei Verwendung dieser Sicher- heitsverfahren Sicherheitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system zugelas- senes Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment Argument BSP_10820CHDE_2020-02_DE „Transaktion nicht von Karteninhaber Karteinhaber autorisiert“ nicht mehr möglich (HaftungsumkehrHaftungsum- kehr). Das gilt auch wenn der Kar- teninhaber Karteninhaber und seine Bank nicht an den Sicherheitsverfahren Sicherheits- verfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten Kreditkarten privaten Kredit- karten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich Verantwor- tungsbereich des VP. Die nachfolgend aufgeführten Vorausset- zungen Voraussetzungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung Bezahllösung (Payment Service Provider) zu schaffen: - • Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung Kenn- zeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - • Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - • Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - • Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - • Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 (1) Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummerKartennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen genommen und übertragen wer- den werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 (2) Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 (3) Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalten. 22.4 (4) Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 (5) Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 (6) Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Internet- adresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 (7) Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) a. vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsregisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) b. die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) c. alle für die Leistung an den VP zu entrichtenden Vergütun- genVergütungen, einschließlich derer für Versand, Verpackung und Steuern; d) d. wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige besondere Lieferbedin- gungenLieferbedingungen; e) e. spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) f. einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) g. die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskartendaten; h) h. verfügbare Sicherheitsverfahren. 22.8 (8) Der VP verpflichtet sich, a) a. Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden, b) b. im Falle wiederkehrender Leistungen für den Karteninha- ber Karteninhaber einfache Möglichkeiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) c. im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) d. sofern er seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) e. zusätzlich zu den in Ziff. 20.2 20.6 und 20.3. 20.7 genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden Aufsichtsbehörden sowie Strafverfolgungsbehörden zusammenzuarbeiten. 22.9 (9) Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 20.6 und 20.3 20.7 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) a. Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-IT- Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- menwidmen, die als Grundlage eines soliden Identitäts- und PAYONE GmbH, Stand 06/2022 Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) b. Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen Kommunikationsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen überflüssigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung Verwendung „gefälschter“ Websites (die rechtmäßige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Extended- Validation-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) c. der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen erzeugen, speichern und auswerten, d) d. Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/und/ oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) e. Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen formalen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten beobachteten Sicherheitsbedrohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te relevante und bekannte potenzielle Angriffe beinhalten, f) f. Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen zuverlässigen und unabhängigen (internen oder externen) Sachver- ständigen Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven operativen Management der eingesetzten Webseiten und Shop- systeme Shopsysteme beteiligt sein, g) g. Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 (10) Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 (11) Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen behördlichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sennachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by (12) Visa (VbV) Secure und MasterCard SecureCode (MSC)Mastercard SecureCode, zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Commerce Transaktionen zwingend vom VP einzuführen. Der VP ist verpflichtet, die jeweils aktuellen Authentifizierungsverfahren der Kartenorganisationen (wie beispielsweise derzeit „Visa Secure“ für Visa-/Visa Electron-Kartenumsätze und „Mastercard SecureCode“ (zukünftig PAYONE_10700_AGB_2022-06_DE „Mastercard Identity Check“)/„Maestro SecureCode“ von Mastercard für Mastercard- und Maestro-Kartenumsätze) oder ein sonstiges dem VP nach diesem Vertrag mitgeteiltes Verfahren zur starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG mittels einer zertifizierten Software zu verwenden. Sie er- möglichen ermöglichen die Authentifizierung der Karteninhaber und schüt- zen schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren Sicherheitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment Argument „Transaktion nicht von Karteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber Karteninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die Authentifikationsdaten des Kunden im Autorisierungs- und Clearingdatensatz sind gemäß den dafür gültigen gesetzlichen Vorgaben an Visa, Mastercard oder anderen jeweils einschlägigen Kartenorganisationen oder PAYONE zu übermitteln. Sollte der VP, aufgrund separater Vereinbarung mit PAYONE, eine nach Kapitel III VO (EU) 2018/389 zugelassene Ausnahme nutzen, erkennt der VP an, dass die Nutzung einer solchen Ausnahme für den Fall des Kartenmissbrauchs auf eigenes Risiko geschieht. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich Verantwortungsbereich des VP. Die nachfolgend aufgeführten Vorausset- zungen Voraussetzungen sind vorher vom VP mit dem seinem Anbieter der verwendeten Be- zahllösung Bezahllösung (Payment Service Provider) zu schaffen: - Allgemeine Geschäftsbedingungen • Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - • Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard oder anderen jeweils einschlägigen Kartenorganisationen wurde durch den Payment Service Provider vorgenommen und bestätigt. - • Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - • Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - • Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen wer- den (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang deutlich darauf hingewiesen wird, welche Internet- adresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- gen, einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige besondere Lieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genau- er Angabe, ab wann die Bezahlpflicht einsetzt und wel- che Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) zusätzlich zu den in Ziff. 20.2 20.7 und 20.320.8. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 20.7 und 20.3 20.8 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- men, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung „gefälschter“ Websites (die rechtmäßige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche Protokolle und Überwachungsinformationen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen und unabhängigen (internen oder externen) Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven Management der eingesetzten Webseiten und Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rieLot- terie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sennach- weisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard Mastercard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen die Authentifizierung der Karteninhaber und schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment „Transaktion nicht von Karteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Vorausset- zungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 (1) Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummerKartennummer, Gültigkeitsdatum Gültig- keitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE zugelassenen Verfahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus Verschlüsselungsalgorithmus im Internet entgegen genommen ge- nommen und übertragen wer- den werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 (2) Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 (3) Der VP ist auch gegenüber BS PAYONE verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalten. 22.4 (4) Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse Interne- tadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 (5) Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE unverzüglich mitzuteilen. 22.6 (6) Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Internet- adresse Internetadresse auf der Abrechnung erscheint. Soweit So- weit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 (7) Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) a. vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsregisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren angegeben Geschäftspapieren an- gegeben sein müssen; b) b. die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht Rückgabe- recht sowie die Abwicklung der Gutschriften; c) c. alle für die Leistung an den VP zu entrichtenden Vergütun- genVergütungen, einschließlich derer für Versand, Verpackung und Steuern; d) d. wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige et- waige besondere Lieferbedin- gungenLieferbedingungen; e) e. spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet abge- rechnet wird;; ▇▇▇.▇▇▇▇▇▇.▇▇▇ f) f. einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) g. die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendatenZahlungskartendaten; h) h. verfügbare Sicherheitsverfahren. 22.8 (8) Der VP verpflichtet sich, a) a. Preise nur in solchen Währungen anzugeben, die von BS PAYONE für Transaktionseinreichungen Transaktions- einreichungen zugelassen wurden, b) b. im Falle wiederkehrender Leistungen für den Karteninha- ber Karteninhaber einfache Möglichkeiten Möglich- keiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) c. im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che Möglichkeiten welche Möglich- keiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) d. sofern er seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) e. zusätzlich zu den in Ziff. 20.2 20.7 und 20.320.8. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeitenStrafverfolgungsbehörden zusammenzuar- beiten. 22.9 (9) Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgehtum- geht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 20.7 und 20.3 20.8 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) a. Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebungen Um- gebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen ord- nungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- menwidmen, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements Zugriffs- managements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe derAufgabe erforderlich ist, b) b. Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, WebsitesWeb- sites, Server und Kommunikationsver- bindungen Kommunikationsverbindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen überflüssigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte be- nötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung Verwendung „gefälschter“ Websites (die rechtmäßige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt be- zahlt werden kann, durch auf den Namen des VP ausgestellte Extended-ValidationValidati- on-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert identifi- ziert werden, c) der c. Der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung Zu- gangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen Sicher- heitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen Über- wachungsinformationen erzeugen, speichern und auswerten, d) d. Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil wesent- lichen Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tungWeiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler sen- sibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) e. Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen formalen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen Ände- rungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen beobachteten Sicherheitsbe- drohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te relevante und bekannte potenzielle Angriffe beinhalten,, BSP_PAYONE_AGB Belgien_2020-02-DE f) f. Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen Überprüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung Rechnung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen zuverlässigen und unabhängigen (internen oder externenex- ternen) Sachver- ständigen Sachverständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven operativen Management der eingesetzten Webseiten und Shop- systeme Shopsysteme beteiligt sein, g) g. Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten Web- seiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen Bestim- mungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 (10) Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen Ände- rungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 (11) Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen behördlichen Erlaubnis bedürfen, insbesondere GlücksspieleGlücks- spiele, Lotte- rieLotterie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sennachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell ge- nerell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten Interes- senten darauf deutlich hinweisen. 22.12 (12) Verified by Visa (VbV) und MasterCard Mastercard SecureCode (MSC), zusammen als „3DSecure3DSe- cure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Commerce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen ermöglichen die Authentifizierung der Karteninhaber und schüt- zen schützen vor Kartenmissbrauch. Bei Verwendung Ver- wendung dieser Sicher- heitsverfahren Sicherheitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system Bezahlsystem ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment Argument „Transaktion nicht von Karteninhaber Kar- teninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber Karteninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr Haf- tungsumkehr gilt in diesen Fällen bei pri- vaten privaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich Verantwortungsbereich des VP. Die nachfolgend aufgeführten Vorausset- zungen aufge- führten Voraussetzungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung Bezahllösung (Payment Service Provider) zu schaffen: - • Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung Kenn- zeichnung der Transaktionen im Online- shop Onlineshop wurde umgesetzt. - • Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard Mastercard wurde durch den Payment Service Provider vorgenommen und bestätigt. - • Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - • Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- denanzuwenden. - • Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard Mastercard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummerKarten- nummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt ver- schlüsselt in dem jeweils von BS PAYONE B+S zugelassenen Verfahren übermittelt übermit- telt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus ver- gleichbaren Verschlüsselungsalgorithmus im Internet entgegen genommen und übertragen wer- den werden (mindestens 128-Bit-SSL-SSL- Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck Eindruck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE B+S verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhalteneinzuhal- ten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene ange- gebene Internetadresse auf der Kartenabrechnung des Karteninhabers Karteninha- bers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenenangegebe- nen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE B+S unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Bezahlvor- gang deutlich darauf hingewiesen wird, welche Internet- adresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsregister- nummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Niederlassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- genVergütungen, einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer Bestim- mungsländer und etwaige besondere Lieferbedin- gungenLieferbedingungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller Kommunikationsmöglichkeiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE B+S für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Karteninhaber ein- fache Möglichkeiten einer Online-Kündigung einzu- richteneinzurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden zwingen- den gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- Kündi- gungs- oder Stornoverfahren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen Dienstleistungen dem Karteninhaber rechtzeitig eine Nachricht zukom- men zukommen lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er seinen Kunden direkten Zugang zu anderen Unternehmen Unter- nehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) zusätzlich zu den in Ziff. 20.2 und 20.3. genannten Pflich- tenPflichten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder 22.9 übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen Zahlungssicherheitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE B+S selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeiten. 22.9 Strafverfolgungsbehörden zusammenzu- arbeiten. Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. d. h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 und 20.3 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten Web- seiten und seines Shopsystems hat der VP der ange- messenen angemessenen Trennung von Aufgaben in den IT-Umgebungen (z. B. der Entwicklungs-Ent- wicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen ord- nungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- menwidmen, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist,. b) Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen Kommunikationsverbin- dungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen Funktionen überflüssigen Funkti- onen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen Res- sourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung Verwendung „gefälschter“ Websites Websi- tes (die rechtmäßige Websites des VP nachahmen) einzuschränkeneinzu- schränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden Authentifizie- rungsmethoden ähnlicher Art identifiziert werden,. 126 000.028 (SHS 10700) – Fassung Juli 2016 - v3.8 - o c) der Der VP muss über geeignete Verfahren zur Überwachung, Verfolgung Ver- folgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten Zahlungs- daten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche zweckdienliche Protokolle und Überwachungsinformationen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen und unabhängigen (internen oder externen) Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven Management der eingesetzten Webseiten und Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- sen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Transaktionen zwingend vom VP einzuführen. Sie er- möglichen die Authentifizierung der Karteninhaber und schüt- zen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren über ein von BS PAYONE zugelassenes Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment „Transaktion nicht von Karteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Vorausset- zungen sind vorher mit dem Anbieter der verwendeten Be- zahllösung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- den. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren MasterCard SecureCode teilnehmen.

E-Commerce. 22.1 Der VP stellt sicher, dass die Kartendaten, einschließlich Kar- tennummer, Gültigkeitsdatum und ggf. Kartenprüfnummer, nur verschlüsselt in dem jeweils von BS PAYONE B+S zugelassenen Verfahren Ver- fahren übermittelt werden. Kreditkartendaten dürfen nur über SSL oder einem vergleichbaren Verschlüsselungsalgo- rithmus im Internet entgegen genommen und übertragen wer- den werden (mindestens 128-Bit-SSL-Verschlüsselung). 22.2 Die Angebote des VP sind so zu gestalten, dass nicht der Ein- druck entstehen kann, die Kartenorganisationen seien die Anbieter oder der Versender der Leistung. 22.3 Der VP ist auch gegenüber BS PAYONE B+S verpflichtet, alle gesetz- lichen gesetzlichen Bestimmungen, insbesondere über Fernabsatzverträge, einzuhaltenein- zuhalten. 22.4 Der VP erklärt sich damit einverstanden, dass die im Vertrag angegebene Internetadresse auf der Kartenabrechnung des Karteninhabers erscheint. 22.5 Weitere Internetadressen des VP neben den im Vertrag ange- gebenen, über die Leistungen des VP abgewickelt werden, sind BS PAYONE B+S unverzüglich mitzuteilen. 22.6 Der VP wird sicherstellen, dass der Karteninhaber beim Bezahl- vorgang Bezahlvorgang deutlich darauf hingewiesen wird, welche Internet- adresse Internetadresse auf der Abrechnung erscheint. Soweit diese Adresse eine andere ist als diejenige, bei der die Bestellung erfolgte, wird der VP sicherstellen, dass auf der Seite der Abrechnungs- adresse Abrechnungsadresse ein Hinweis, Link oder eine Weiterleitung Weiterlei- tung auf die Bestelladresse eingerichtet ist. 22.7 Der VP wird jeweils klar und eindeutig auf einer Internetseite, die über die im Vertrag angegebene Internetadresse erreicht werden kann, die folgenden Angaben machen: a) vollständiger Name und Adresse, Firmensitz, Handelsregis- ternummerHandelsre- gisternummer, Ort des Handelsregisters und alle weiteren Angaben, die nach dem Gesetz in dem Land der Niederlas- sung Nieder- lassung des VP, die die Leistungen anbietet, auf Geschäfts- papieren Geschäftspapieren angegeben sein müssen; b) die Lieferbedingungen, vor allem Vereinbarungen über Widerruf oder Rückgaberecht sowie die Abwicklung der Gutschriften; c) alle für die Leistung an den VP zu entrichtenden Vergütun- genVergü- tungen, einschließlich derer für Versand, Verpackung und Steuern; d) wenn der VP ins Ausland versendet, die möglichen Bestimmungsländer und etwaige besondere Lieferbedin- gungen; e) spätestens zum Zeitpunkt der Bestellung die Währung, in der die Leistung abgerechnet wird; f) einen Hinweis auf den Kundenservice mit vollständiger Adresse, einschließlich aller KommunikationsmöglichkeitenKommunikationsmöglich- keiten; g) die vom VP angewendeten Grundsätze für die Nutzung von Kundendaten und für die Übermittlung von Zahlungs- kartendaten; h) verfügbare Sicherheitsverfahren. 22.8 Der VP verpflichtet sich, a) Preise nur in solchen Währungen anzugeben, die von BS PAYONE B+S für Transaktionseinreichungen zugelassen wurden, b) im Falle wiederkehrender Leistungen für den Karteninha- ber einfache Möglichkeiten einer Online-Kündigung einzu- richtenein- zurichten, soweit eine Kündigung nach den Bedingungen des VP oder zwingenden gesetzlichen Bestimmungen möglich ist. Ein Online-Kündigungs- oder Stornoverfahren Stornoverfah- ren muss mindestens so einfach und zugänglich sein wie das Verfah- ren Verfahren der ursprünglichen Bestellung, c) im Falle einer Probenutzung seiner Seiten/Dienstleistun- gen dem Karteninhaber rechtzeitig eine Nachricht zukom- men lassen, wann diese Probenutzung endet, mit genau- er genauer Angabe, ab wann die Bezahlpflicht einsetzt und wel- che welche Möglichkeiten der Karteninhaber hat, gegebenenfalls zu kündigen, d) sofern er es seinen Kunden direkten Zugang zu anderen Unternehmen anbietet (sog. Links), auf diesen Wechsel ausdrücklich hinzuweisen, e) zusätzlich zu den in Ziff. 20.2 und 20.3. genannten Pflich- ten, wenn er sensible Zahlungsdaten speichert, verarbeitet oder übermittelt, bei Schwerwiegenden Zahlungssicher- heitsvorfällen einschließlich Datenschutzverletzungen, mit BS PAYONE selbst und den zuständigen Strafverfol- gungsbehörden zusammenzuarbeiten. 22.9 Darüber hinaus verpflichtet sich der VP, wenn er mit sensiblen Zahlungsdaten umgeht, d.h. diese speichert, verarbeitet oder übermittelt, zusätzlich zu den in Ziff. 20.2 und 20.3 genannten Anforderungen folgende Maßnahmen zu ergreifen: a) Bei der Gestaltung, Entwicklung und Bereitstellung seiner Webseiten und seines Shopsystems hat der VP der ange- messenen Trennung von Aufgaben in den IT-Umgebungen (z. B. der Entwicklungs-, Test- und Produktionsumgebung) und der ordnungsgemäßen Umsetzung des Prinzips des geringsten Zugriffsrechts besondere Aufmerksamkeit wid- men, die als Grundlage eines soliden Identitäts- und Zugriffsmanagements dienen. Jedes Programm und jeder berechtigte Nutzer des Systems hat mit dem geringsten Maß an Zugriffsrechten zu arbeiten, das zur Erfüllung der Aufgabe erforderlich ist, b) Der VP muss über geeignete Sicherheitslösungen verfügen, um Netzwerke, Websites, Server und Kommunikationsver- bindungen gegen Missbrauch oder Angriffe zu schützen. Er muss die von ihm eingesetzten Server von allen überflüs- sigen Funktionen befreien, um sie zu schützen (zu härten) und die Schwachstellen von gefährdeten Anwendungen zu beseitigen oder zu reduzieren. Der Zugriff auf benötigte Daten und Ressourcen durch verschiedene Anwendungen müssen gemäß dem Prinzip des geringsten Zugriffsrechts auf ein Mindestmaß beschränkt werden. Um die Verwen- dung „gefälschter“ Websites (die rechtmäßige Websites des VP nachahmen) einzuschränken, müssen die Websites des VP, über die bezahlt werden kann, durch auf den Namen des VP ausgestellte Extended-Validation-Zertifikate oder sonstige Authentifizierungsmethoden ähnlicher Art identifiziert werden, c) der VP muss über geeignete Verfahren zur Überwachung, Verfolgung und Zugangsbeschränkung von i) sensiblen Zahlungsdaten und ii) kritischen logischen und physischen Ressourcen wie Netzwerken, Systemen, Datenbanken, Sicherheitsmodulen usw. verfügen. Der VP muss zweck- dienliche Protokolle und Überwachungsinformationen erzeugen, speichern und auswerten, d) Bei der Gestaltung, Entwicklung und Bereitstellung von Webseiten und Shopsystem muss der VP sicherstellen, dass die Datenminimierung einen wesentlichen Bestand- teil der Kernfunktionalität bildet: Die Erfassung, Weiterlei- tung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten muss auf ein absolutes Mindestmaß beschränkt werden, e) Die Sicherheitsmaßnahmen für Webseiten und Shopsystem müssen unter der Aufsicht der Risikomanagementfunktion getestet werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Sämtliche Änderungen müssen einen for- malen Änderungsmanagementprozess durchlaufen, um sicherzustellen, dass alle Änderungen ordnungsgemäß geplant, getestet, dokumentiert und genehmigt werden. Auf Basis der vorgenommenen Änderungen und der beob- achteten Sicherheitsbedrohungen müssen die Tests regelmäßig wiederholt werden und Szenarien für relevan- te und bekannte potenzielle Angriffe beinhalten, f) Die Sicherheitsmaßnahmen des VP für seine Webseiten und Shopsysteme müssen in regelmäßigen Abständen überprüft werden, um ihre Robustheit und Wirksamkeit sicherzustellen. Die Umsetzung und Funktionsweise der Webseiten und Shopsysteme müssen ebenfalls überprüft werden. Die Häufigkeit und die Schwerpunkte dieser Über- prüfungen müssen den jeweiligen Sicherheitsrisiken Rech- nung tragen und in einem angemessenen Verhältnis zu ihnen stehen. Die Überprüfungen müssen von zuverlässi- gen und unabhängigen (internen oder externen) Sachver- ständigen durchgeführt werden. Diese dürfen in keiner Weise an der Entwicklung, Umsetzung oder dem operati- ven Management der eingesetzten Webseiten und Shop- systeme beteiligt sein, g) Wenn der VP Funktionen auslagert, die die Sicherheit der eingesetzten Webseiten und Shopsysteme betreffen, muss der entsprechende Vertrag Bestimmungen enthalten, die die Einhaltung der in diesen AGB dargelegten Grundsätze und Leitlinien fordern. 22.10 Betreibt der VP Webseiten in einer anderen Sprache als Deutsch oder Englisch, wird er BS PAYONE B+S auf Anforderung für diese Seiten und unaufgefordert für spätere Änderungen eine deutsche oder englische Übersetzung zur Verfügung stellen. 22.11 22.10 Betreibt der VP Geschäfte, die nach anwendbarem Recht für alle oder bestimmte Nutzer (z.B. Jugendliche) einer behörd- lichen behördli- chen Erlaubnis bedürfen, insbesondere Glücksspiele, Lotte- rie, Wetten u.Ä., wird der VP gegenüber BS PAYONE nachwei- senB+S nachweisen, dass diese Erlaubnis erteilt wurde und weiter gültig ist. Soweit für einzelne Länder, an die sich das Angebot des VP rich- tetrichtet, eine Erlaubnis nicht vorliegt oder die betreffende Leistung generell gene- rell verboten ist oder dem VP die Rechtslage nicht bekannt ist, wird es die Interessenten darauf deutlich hinweisen. 22.12 22.11 Verified by Visa (VbV) und MasterCard SecureCode (MSC), zusammen als „3DSecure“ bezeichnet, gelten ) gel- ten als „Besonderes Sicherheitsverfahren“ im Sinne der AGB und sind für E-Com- merce Transaktionen zwingend vom VP einzuführenAGB. Sie er- möglichen ermöglichen die Authentifizierung der Karteninhaber und schüt- zen schützen vor Kartenmissbrauch. Bei Verwendung dieser Sicher- heitsverfahren Sicherheitsverfahren über ein von BS PAYONE B+S zugelassenes Bezahl- system ist eine Zahlungsrückgabe des Kunden mit dem Argu- ment „Transaktion nicht von Karteninhaber autorisiert“ nicht mehr möglich (Haftungsumkehr). Das gilt auch wenn der Kar- teninhaber und seine Bank nicht an den Sicherheitsverfahren teilnehmen. Die Haftungsumkehr gilt in diesen Fällen bei pri- vaten Kreditkarten weltweit; bei Business- und Firmenkarten europaweit. Die technische Umsetzung zur Einführung der besonderen Sicherheitsverfahren liegt im Verantwortungs- bereich des VP. Die nachfolgend aufgeführten Vorausset- zungen Voraussetzun- gen sind vorher mit dem Anbieter der verwendeten Be- zahllösung Bezahllö- sung (Payment Service Provider) zu schaffen: - Die technischen Voraussetzungen sind geschaffen worden. Die richtige Kennzeichnung der Transaktionen im Online- shop wurde umgesetzt. - Die notwendige Anmeldung für eine Verbindung mit Visa und MasterCard wurde durch den Payment Service Provider Provi- der vorgenommen und bestätigt. - Das Verfahren wurde bei BS PAYONE B+S aktiviert (Vertrag). - Die Sicherheitsverfahren sind bei jeder Zahlung anzuwen- den. - Für Maestro Transaktionen müssen neben dem VP auch der Karteninhaber und die Karteninhaberbank am Verfahren Verfah- ren MasterCard SecureCode teilnehmen.