Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen der usd AG über die Inanspruchnahme von Leistungen der "usd PCI DSS Plattform" und ergänzende Dienstleistungen

§ 1Vertragsgegenstand; Geltungsbereich
1.1usd AG (Anbieterdaten siehe Impressum) bietet für Unternehmen IT-Sicherheitsüberprüfungen und ergänzende Dienstleistungen nach dem Payment Card Industry Data Security Standard (PCI DSS) an. Hierfür betreibt die usd AG (Anbieter) die Business-to-Business-Internetplattform "usd PCI DSS Plattform" (Plattform). Die Plattform bietet Kunden den Zugriff auf Applikationen und Services, um eine Beurteilung des Sicherheitsniveaus der vom Internet erreichbaren IT-Infrastruktur des Kunden zu ermöglichen und um gegebenenfalls eine PCI DSS-Zertifizierung zu erlangen.
1.2Diese Allgemeinen Geschäftsbedingungen (Plattform AGB) gelten für alle Kunden mit dem ersten Zugriff auf die auf der Plattform bereitgehaltenen Internetdienste und/oder mit der ersten Inanspruchnahme von Services zur Beurteilung des Sicherheitsniveaus der vom Internet erreichbaren IT-Infrastruktur des Kunden. Diese Plattform AGB werden durch den Datenschutzhinweis in seiner aktuellen Fassung auf der Plattform ergänzt.
1.3Gegenbestätigungen der Kunden unter Hinweis auf ihre eigenen Geschäfts- und/oder Einkaufsbedingungen wird hiermit widersprochen. Individuelle Vereinbarungen bleiben hiervon unberührt.
1.4Die Kunden sind berechtigt, die unter https://pci.usd.de bereitgehaltenen Internetdienste und die angebotenen Services nach den folgenden Bestimmungen zu nutzen.

 
§ 2Services; Kosten
2.1

Im Rahmen der angebotenen IT-Sicherheitsüberprüfungen überprüfen Kunden ihre über das Internet erreichbare IT-Infrastruktur auf die durch den PCI DSS Standard vorgegebenen Anforderungen. Sie nutzen dazu die auf der Plattform zur Verfügung gestellten Applikationen und die von dem Anbieter angebotenen, ergänzenden Dienstleistungen.

Ergebnisse und Schlussfolgerungen der IT-Sicherheitsüberprüfungen und der ergänzenden Dienstleistungen werden dem Kunden mittels eines von der Plattform herunterladbaren Berichtes (Report) zur Verfügung gestellt.

Sofern der Kunde eine PCI DSS-Zertifizierung anstrebt und entsprechende Leistungen beim Anbieter erworben hat, stellt der Anbieter das PCI DSS-Zertifikat und das Siegel bereit, sofern die Anforderungen des Standards erfüllt sind.

2.2Die über den Zugriff auf die Plattform zur Verfügung gestellten Applikationen und angebotenen Services bestehen unter anderem aus
  • Bereithaltung der Nutzungsmöglichkeiten der PCI DSS Plattform nach Zulassung des Kunden gem. § 3
  • Online Self-Assessment Questionnaires
  • Externe PCI DSS Security Scans
  • Auditierungsleistungen nach den Standards PCI DSS und PCI PA-DSS
  • Bereitstellung von Berichten, Zertifikaten und Siegeln
  • Unterstützungsleistungen des PCI Competence Centers der usd
  • Beratungs-, Dienst- und Unterstützungsleistungen für Kunden entsprechend gesonderter Vereinbarung mit dem Anbieter
2.3Die Preise und Abrechnungsmodalitäten für zu bestellende Einzelleistungen sind der jeweiligen Produktbeschreibung zu entnehmen. Für die Preisbestimmung ist der Zeitpunkt der Bestellung des jeweiligen Services gegenüber dem Anbieter maßgeblich.
 
§ 3Nutzungsvoraussetzungen; Registrierung und Zulassung
3.1Voraussetzung für die Nutzung der Plattform und Inanspruchnahme der angebotenen Services ist der Abschluss dieses Vertrages. Der Kunde gibt hierzu ein Vertragsangebot ab, indem er das von ihm mit den Mindestangaben ausgefüllte Registrierungsformular online an den Anbieter sendet und die Geltung dieser Plattform AGB durch Mausklick anerkennt. Zur Registrierung als Kunde sind Unternehmer und Unternehmen berechtigt. Dies sind ausschließlich natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die bei der Inanspruchnahme der auf der Plattform zur Verfügung gestellten Applikationen und angebotenen Services in Ausübung ihrer gewerblichen oder selbstständigen beruflichen Tätigkeit handeln.
3.2Der Anbieter überprüft die vom Kunden angegebenen Unternehmensdaten auf Plausibilität und entscheidet im Rahmen des Registrierungsverfahrens über die Annahme (Zulassung) des vom Kunden übermittelten Angebots zum Abschluss dieses Vertrages gem. Ziffer 3.1. Die Zulassung ermöglicht dem Kunden den Zugang zu dem nichtöffentlichen Bereich der Plattform zur Bestellung, Terminierung und Inanspruchnahme von Services.
3.3Ein Anspruch auf Zulassung zur Nutzung der Plattform und auf Inanspruchnahme von Services besteht nicht.

 
§ 4IT-Sicherheitsüberprüfungen und ergänzende Dienstleistungen gemäß PCI DSS; Einstufung des Kunden; Datenübermittlung und -abgleich; Bestellung, Terminierung und Inanspruchnahme von Services
4.1Der Anbieter erbringt seine Leistungen unabhängig davon, ob Kunden gemäß PCI DSS verpflichtet sind, eine PCI DSS-Zertifizierung zu erreichen.
4.2Sofern der Kunde eine Zertifizierung nach PCI DSS anstrebt, richtet sich Art, Umfang und Häufigkeit der durchzuführenden Zertifizierungsmaßnahmen nach seiner Klassifizierung und Einstufung. Mit bzw. nach seiner Registrierung legt der Kunde alle zur Klassifizierung und Einstufung erforderlichen Daten auf der Plattform fest oder übermittelt diese an den Anbieter zur zweckgebundenen Verarbeitung und Nutzung.
4.3

Mit seiner Zulassung kann der Kunde einzelne Services auf der Plattform gemäß Produktbeschreibung und im Rahmen einer angestrebten PCI DSS-Zertifizierung gemäß seiner Klassifizierung und Einstufung bestellen und deren Durchführung abhängig von den zur Verfügung stehenden Kapazitäten und zeitlichen Einschränkungen terminieren.

§ 5Rechte und Pflichten der Kunden
5.1Der Kunde ist berechtigt, die Services und Applikationen der Plattform ordnungsgemäß und eigenverantwortlich in Anspruch zu nehmen. Der Kunde ist verpflichtet, sämtliche Sicherheitsbestimmungen des Anbieters zu beachten und rechtswidrige Handlungen und Missbrauch der Zugriffsmöglichkeiten auf die auf der Plattform bereitgehaltenen Applikationen und Services zu unterlassen.
5.2Im Rahmen seiner Registrierung und bei der Eingabe bzw. Übermittlung zertifizierungsrelevanter Informationen ist der Kunde verpflichtet, wahrheitsgemäße Angaben zu machen und diese fortlaufend auf ihre sachliche Richtigkeit hin zu überprüfen bzw. zu aktualisieren.
5.3Der Kunde ist verpflichtet, lediglich IT Systeme zu scannen, soweit er hierzu berechtigt ist. Die Berechtigung besteht in der Regel, wenn der Kunde Inhaber der IP-Adressen sowie entweder Eigentümer der zu den IP-Adressen zugehörigen IT-Systeme ist oder die schriftliche Erlaubnis vom Eigentümer der IT Systeme zur Durchführung der Security Scans eingeholt hat.
5.4Sofern der Kunde eine Zertifizierung nach PCI DSS anstrebt, ist er verpflichtet, die IP-Adressen aller seiner IT-Systeme anzugeben, die potenziell Kreditkartendaten speichern, verarbeiten oder weiterleiten und vom Internet aus zugänglich sind. Dies sind z.B. Webserver, Applikationsserver, Router, Firewall und Load Balancer.
5.5Der Kunde ist verpflichtet, für den Zeitraum des Security Scans seine IDS/IPS (Intrusion Detection Systems/Intrusion Prevention Systems) so zu konfigurieren, dass die den PCI DSS Security Scan ausführenden IT-Systeme des Anbieters uneingeschränkten Zugriff auf die zu scannenden Komponenten des Kunden erhalten.
5.6Wird der Anbieter aufgrund eines der unter Ziffer 5.1, 5.2, 5.3, 5.4 und 5.5 genannten Verstoßes von Dritten oder einem Kunden in Anspruch genommen, verpflichtet sich der für den Verstoß verantwortliche Kunde, den Anbieter von jeglichen Ansprüchen freizustellen. Die Freistellungspflicht bezieht sich auf alle Aufwendungen, die dem Anbieter aus der Inanspruchnahme durch einen Dritten notwendigerweise erwachsen. Die Geltendmachung eines darüber hinausgehenden Schadensersatzes behält sich der Anbieter ausdrücklich vor.
 
§ 6Rechte und Pflichten des Anbieters
6.1Der Anbieter verpflichtet sich, eigene Services auf festgelegte Standards, Vollständigkeit und Sicherheit zu überprüfen.
6.2Im Rahmen des Zertifizierungsverfahrens obliegt die Beurteilung, ob der Ist-Zustand des zu überprüfenden IT-Systems dem geforderten Soll-Zustand entspricht, allein dem Anbieter. Ein Anspruch des Kunden auf Erteilung des Zertifikats besteht im Falle einer negativen Abweichung des Ist- vom Soll-Zustand nicht.
6.3Der Anbieter ist berechtigt, alle Angaben des Kunden auf ihre sachliche und tatsächliche Richtigkeit hin zu überprüfen und hierfür ggf. gesonderte schriftliche Zusicherungen vom Kunden sowie Auskünfte von Dritten einzuholen.
Für den Fall von ernsthaften Zweifeln an der Richtigkeit der vom Kunden gemachten Angaben ist der Anbieter berechtigt, die Zugriffsmöglichkeit auf die Plattform ganz oder teilweise zu entziehen und den Vertrag außerordentlich zu kündigen. Gleiches gilt bei Verstößen des Kunden gegen seine Pflichten gem. § 5 Ziffer 5.1, 5.2, 5.3, 5.4 und 5.5 und bei sonstigen schwerwiegenden Vertragsverletzungen des Kunden. Das Recht des Anbieters zur Geltendmachung von Schadensersatz bleibt hiervon unberührt.
6.4Der Anbieter vergibt die Zeiten, zu denen PCI DSS Security Scans durchgeführt werden, nach der zeitlichen Reihenfolge des Eingangs der vom Kunden vorgenommenen Terminierungen unter Berücksichtigung der zur Verfügung stehenden Kapazitäten des Anbieters. Der Kunde hat keinen Anspruch auf Durchführung von Zertifizierungsmaßnahmen zu einem bestimmten Zeitpunkt, sofern der Anbieter zu diesem Zeitpunkt keine freien Kapazitäten zur Verfügung hat.
6.5Die inhaltliche und technische Ausgestaltung, insbesondere Form und Inhalt der Plattform liegen ausschließlich im Ermessen des Anbieters. Der Anbieter behält sich insoweit das Recht vor, alle kostenfrei angebotenen Services jederzeit einzustellen, einzuschränken, zu erweitern, zu ergänzen oder zu verbessern.

 
§ 7Verfügbarkeit der Plattform und der Services
Die Plattform und die über die Plattform angebotenen Services werden ohne jegliche Zusicherung in Bezug auf Verfügbarkeit bereitgestellt. Terminierte Zertifizierungsmaßnahmen, die in den Zeitraum eines Systemausfalls hineinfallen, werden vom Anbieter in Abstimmung mit dem Kunden zum nächstmöglichen Zeitpunkt nachgeholt.
 
§ 8Vertragslaufzeit; Kündigung
8.1Der diesen Plattform AGB zugrunde liegende Vertrag wird auf unbestimmte Zeit geschlossen. Er beginnt mit der Zulassung des Kunden durch den Anbieter gem. § 3 dieser Plattform AGB.
8.2Sowohl der Kunde als auch der Anbieter kann diesen Vertrag jederzeit mit einer Frist von einem Monat zum Jahresende ordentlich kündigen. Das Recht des Anbieters, die Zugriffsmöglichkeiten des Kunden auf die Plattform ganz oder teilweise gem. § 6 zu entziehen, bleibt hiervon unberührt.
8.3Die Vertragslaufzeit von kostenpflichtigen Services sowie gegebenenfalls das Recht zur ordentlichen Kündigung von kostenpflichtigen Services sind in der Produktbeschreibung des Anbieters geregelt.
8.4Sowohl der Kunde als auch der Anbieter hat das Recht, den Vertrag aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist zu kündigen. Ein wichtiger Grund ist für den Anbieter insbesondere:
  • der schwerwiegende Verstoß eines Kunden gegen die Bestimmungen dieser Plattform AGB
  • die deliktische Handlung eines Kunden oder der Versuch einer solchen
  • die Eröffnung des Insolvenzverfahrens über das Vermögen eines Kunden oder die Abweisung des entsprechenden Eröffnungsantrages mangels Masse
8.5Jede Kündigung muss in Textform erfolgen. Kündigungen per Fax oder E-Mail (an den Anbieter: pci@usd.de) wahren die Textform.

 
§ 9Systemuhrzeit
9.1Für die Terminierung und die Durchführungen von Zertifizierungsmaßnahmen, insbesondere von PCI DSS Security Scans, gilt ausschließlich die auf der Plattform maßgebliche Systemuhrzeit von https://pci.usd.de.
9.2Die Systemuhrzeit richtet sich nach der koordinierten Weltzeit UTC (Universal Time Coordinated), kann jedoch im Einzelnen von der offiziellen Zeitangabe abweichen.
 
§ 10 Haftung und Haftungsbegrenzung des Anbieters
10.1Der Anbieter haftet unbegrenzt für Vorsatz und grobe Fahrlässigkeit. Bei vom Anbieter oder seinen gesetzlichen Vertretern oder Erfüllungsgehilfen im Rahmen dieses Vertrages leicht fahrlässig verursachten Verletzungen von wesentlichen Vertragspflichten beschränkt sich die Haftung des Anbieters gegenüber Kunden auf den vorhersehbaren, vertragstypischen, unmittelbaren Durchschnittsschaden. In der Summe ist die Haftung auf höchstens 25.000,00 Euro (i.W.: fünfundzwanzigtausend Euro) je Haftungsfall begrenzt. Im Übrigen ist die Haftung ausgeschlossen.
10.2Der Anbieter gewährleistet und stellt sicher, dass der als Applikation zur Verfügung gestellte Security Scanner dem von den Kreditkartenorganisationen vorgegebenen Payment Card Industry Data Security Standard entspricht. Dies ist notwendig, um das analysierte und dem Standard entsprechende IT-System zu zertifizieren, und stellt zugleich sicher, dass das Scannen lediglich minimalen Einfluss auf das analysierte IT-System hat. Eine weitergehende Verpflichtung oder Haftung des Anbieters besteht nicht. Der Anbieter haftet nicht für Schäden aufgrund von Beeinträchtigungen der Integrität und/oder Verfügbarkeit der analysierten IT-Systeme bei ordnungsgemäßen, dem Payment Card Industry Data Security Standard entsprechenden Security Scans. Im Übrigen gilt Ziffer 10.1 entsprechend.
10.3Soweit die Plattform mit Links den Zugang zu anderen Websites ermöglicht, ist der Anbieter für die dort enthaltenen fremden Inhalte nicht verantwortlich. Der Anbieter macht sich die fremden Inhalte nicht zu Eigen. Die Haftung für fremde Inhalte ist ausgeschlossen. Sofern der Anbieter Kenntnis von rechtswidrigen Inhalten auf externen Websites erhält, wird der Anbieter den Link zu diesen unverzüglich beseitigen.
10.4Die vorstehenden Haftungsbeschränkungen und Ausschlüsse betreffen nicht Ansprüche der Kunden aus Produkthaftung. Weiter gelten die Haftungsbeschränkungen nicht für dem Anbieter zurechenbare Körper- und Gesundheitsschäden von Kunden.

 
§ 11 Datenschutz und Geheimnisschutz
11.1Der Anbieter hat umfassende technische wie auch organisatorische Vorkehrungen getroffen, um die vertrauliche und ausschließlich zweckbestimmte Behandlung von Daten und von Betriebsgeheimnissen sicherzustellen. Der Missbrauch durch rechtswidrige Handlungen Dritter kann jedoch nicht gänzlich ausgeschlossen werden.
11.2Der Anbieter verpflichtet sich, die bei der Registrierung und bei der Nutzung gespeicherten Daten lediglich zu eigenen Zwecken zu nutzen und nicht an außenstehende Dritte weiterzugeben, sofern hierzu keine behördlich angeordnete Verpflichtung besteht oder der Kunde nicht ausdrücklich sein Einverständnis erklärt hat. Diese Regelung über den Umgang mit Daten wird durch den Datenschutzhinweis konkretisiert und ergänzt.
11.3Der Anbieter verpflichtet sich, über alle ihm im Rahmen der Vertragserfüllung zur Kenntnis gelangten Betriebs- und Geschäftsgeheimnisse Stillschweigen zu wahren und Dritten nicht zugänglich zu machen. Ausgenommen hiervon sind Informationen, die zur Veröffentlichung bestimmt sind oder deren Weitergabe der Kunde zugestimmt hat.
11.4Der Anbieter verpflichtet sich, alle Mitarbeiter, die mit der Vertragserfüllung betraut sind, auf die strenge Einhaltung der datenschutzrechtlichen Vorschriften sowie zur strengen Wahrung von Betriebsgeheimnissen von Kunden zu verpflichten.
 
§ 12 Urheber- und Schutzrechte
12.1Der Anbieter ist Inhaber sämtlicher Eigentums-, Schutz- und Urheberrechte bzgl. der eigenen Beiträge und sonstiger eigener Inhalte.
12.2Der Kunde verpflichtet sich, die auf der Plattform enthaltenen Urheberrechtsvermerke oder andere Hinweise auf derartige Rechte weder zu entfernen noch unkenntlich zu machen.

 
§ 13 Informationen im elektronischen Geschäftsverkehr; Ausschluss von § 312g Abs. 1, Satz 1, Nrn. 1-3, Satz 2 BGB
13.1Der Kunde hat jederzeit die Möglichkeit, diese Plattform AGB in wiedergabefähiger Form auf der Plattform als Datei herunterzuladen und zu speichern.
13.2Dem Kunden stehen auf der Plattform umfangreiche Informationen über die Nutzungsmöglichkeiten und die Nutzungsweise der Plattform wie bspw. FAQ und PCI Competence Center zur Verfügung. Im Übrigen wird die Anwendung von § 312g Abs. 1, Satz 1, Nrn. 1-3, Satz 2 BGB ausgeschlossen.
 
§ 14 Allgemeines
14.1Es gilt ausschließlich das Recht der Bundesrepublik Deutschland Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG). Der ausschließliche Gerichtsstand ist Frankfurt am Main in der Bundesrepublik Deutschland, soweit der Nutzer Kaufmann ist. Der Anbieter ist daneben berechtigt, auch am allgemeinen Gerichtsstand des Nutzers zu klagen.
14.2Der deutsche Vertragstext dieser Plattform AGB und ihrer Bestandteile besitzt im Zweifelsfall Vorrang gegenüber Übersetzungen in anderen Sprachen.
14.3Die Unwirksamkeit einer oder mehrerer Bestimmungen dieses Vertrages berührt nicht die Wirksamkeit dieses Vertrages im Übrigen.
14.4Diese Plattform AGB sowie deren ergänzenden Bestandteile können sämtlich auf der Plattform abgerufen, ausgedruckt und gespeichert werden.
14.5Diese Plattform AGB treten an die Stelle aller früheren Plattform AGB und ersetzen diese. Weitere Änderungen dieser Plattform AGB werden dem Kunden schriftlich per E-Mail vom Anbieter mitgeteilt. Widerspricht der Kunde solchen Änderungen nicht innerhalb von 14 Tagen nach Zugang der Mitteilung, gelten die Änderungen als vereinbart, wenn der Kunde die unter https://pci.usd.de bereitgehaltenen Services des Anbieters weiterhin in Anspruch nimmt. Auf das Widerspruchsrecht und die Rechtsfolgen des Schweigens wird der Kunde im Falle der Änderung dieser Plattform AGB gesondert hingewiesen.
 

usd AG
Stand: Mai 2010

Allgemeine Geschäftsbedingungen herunterladen