Was bedeutet PCI-Konformität?
Die Payment Card Industry (PCI), zu der Visa, MasterCard, American Express und andere führende Kartenmarken gehören, verlangt von Dienstleistern, Banken und Händlern mit hohem Zahlungsaufkommen die Einhaltung strenger Sicherheitsrichtlinien
Was ist PCI Compliance?
DiePayment Card Industry (PCI), zu der Visa, MasterCard, American
Express und andere führende Kartenmarken gehören, verlangt von Dienstleistern, Banken und
Händlern mit hohem Zahlungsaufkommen, dass sie strenge Sicherheitsrichtlinien einhalten, darunter:
- Aufbau und Pflege eines sicheren Netzwerks.
- Schutz von Karteninhaberdaten.
- Aufrechterhaltung eines Programms zum Schwachstellenmanagement.
- Implementierung von strengen Zugangskontrollmaßnahmen.
- Regelmäßige Überwachung und Prüfung der Netzwerke.
- Aufrechterhaltung einer Informationssicherheitspolitik.
In Übereinstimmung mit diesen Richtlinien und mit einer Sicherheitsbewertung durch einen Drittanbieter
wurde Nuvei ein PCI-Compliance-Zertifikat für die
Anforderungen der Payment Card Industry (PCI) Data Security Standards (DSS)
Validierungsmethoden ausgestellt.
Die Bedeutung der PCI-Konformität für dein Unternehmen
Für wen gilt die PCI Compliance?
Die Anforderungen des PCI DSS gelten für alle Organisationen oder Händler, die Karteninhaberdaten akzeptieren, übermitteln oder speichern.
Was genau sind "Karteninhaberdaten"?
Karteninhaberdaten sind alle Informationen, die den Karteninhaber persönlich identifizieren oder mit ihm in Verbindung gebracht werden können. Informationen wie Name, Adresse, Kontonummer usw. Alle persönlich identifizierbaren Informationen, die mit dem Karteninhaber in Verbindung gebracht werden können und gespeichert, verarbeitet oder übertragen werden, gelten ebenfalls als Karteninhaberdaten.
Was ist mit Debitkartentransaktionen?
In den Geltungsbereich des PCI DSS fallen alle Karten, die mit einem der fünf Logos der Kartenverbände/Marken versehen sind, die am PCI SSC teilnehmen - American Express, Discover, JCB, MasterCard und Visa International. Dazu gehören neben den Kreditkarten auch Debitkarten und Prepaid-Karten.
Gilt PCI auch für mich, wenn ich nur Kreditkarten am Telefon akzeptiere?
Wie bereits erwähnt, muss jedes Unternehmen, das Karteninhaberdaten speichert, verarbeitet oder überträgt, PCI-konform sein.
Nuvei's PCI Compliance SAQ
Wo finde ich die PCI Data Security Standards (PCI DSS)?
Du findest sie auf der Website des PCI SSC unter dem folgenden Link:
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
Gibt es verschiedene PCI-Konformitätsstufen?
Ja. Es gibt vier verschiedene Händlerstufen, die sich nach dem Transaktionsvolumen über 12 Monate richten.
Im Folgenden findest du die verschiedenen Händlerstufen, wie sie von Visa definiert werden:
Die 4 Stufen der PCI-Konformität für Händler
Stufe 1
Jeder Händler - unabhängig vom Akzeptanzkanal - der mehr als 6 Millionen Visa-Transaktionen pro Jahr abwickelt. Jeder Händler, bei dem Visa nach eigenem Ermessen entscheidet, dass er die Anforderungen für Händler der Stufe 1 erfüllen sollte, um das Risiko für das Visa-System zu minimieren.
Stufe 2
Jeder Händler - unabhängig vom Akzeptanzkanal - der 1 Mio. bis 6 Mio. Visa-Transaktionen pro Jahr verarbeitet.
Stufe 3
Jeder Händler, der 20.000 bis 1 Million Visa E-Commerce-Transaktionen pro Jahr verarbeitet.
Stufe 4
Alle Händler, die weniger als 20.000 Visa-E-Commerce-Transaktionen pro Jahr abwickeln, und alle anderen Händler - unabhängig vom Akzeptanzkanal - die bis zu 1 Million Visa-Transaktionen pro Jahr abwickeln.
Wenn mein Unternehmen mehrere Standorte hat, muss ich dann die PCI-Konformität für jeden Standort validieren?
Wenn nicht jeder Standort unter einer anderen Steuernummer arbeitet, musst du die Validierung nur einmal jährlich für alle Standorte durchführen. Gegebenenfalls musst du auch vierteljährliche Netzwerk-Scans durch einen PCI SSC Approved Scanning Vendor (ASV) vorlegen.
Welche Strafen gibt es bei Nichteinhaltung der Vorschriften?
Die Nichteinhaltung kann sehr kostspielig sein, und obwohl die Zahlungsmarken die Acquiring-Bank und nicht den Händler direkt bestrafen, werden die Strafen nachgelagert und können zu erhöhten Transaktionsgebühren oder sogar zur Kündigung der Bankbeziehung führen. Eine Acquiring-Bank muss bei Verstößen gegen die PCI-Vorschriften mit 5.000 bis 100.000 US-Dollar pro Monat rechnen.