Wenn Ihr Unternehmen Kreditkarten akzeptiert, muss es die PCI-Compliance-Standards (Payment Card Industry) erfüllen. Dies gilt unabhängig davon, ob Sie Zahlungen über einen physischen POS, eine Online-Kasse oder kontaktloses Bezahlen entgegennehmen .
In diesem Beitrag erklären wir Ihnen, wie PCI-Compliance ist, warum sie unerlässlich ist und welche Schritte Einzelhändler unternehmen müssen, um ihre Anforderungen zu erfüllen.
💡 Das Wichtigste in Kürze:
- Alle Unternehmen, die Kreditkartenzahlungen akzeptieren, müssen sich an die PCI-Standards halten
- Die Nichteinhaltung der PCI-Anforderungen kann zu hohen Geldstrafen, dem Verlust des Kundenvertrauens und einer erhöhten Anfälligkeit für Cyberangriffe führen
- KORONA POS hilft Einzelhändlern, die Vorschriften einzuhalten, indem es sichere, PCI-konforme Integrationen für die Zahlungsabwicklung anbietet
Was ist PCI-Compliance?
Der PCI Data Security Standard (PCI DSS) ist eine Reihe von Best Practices, die Händler und Verbraucher vor Datenschutzverletzungen und Zahlungsbetrug schützen sollen.
Jeder Einzelhändler, der Kreditkartenzahlungen akzeptiert, muss die festgelegten Standards einhalten, einschließlich regelmäßiger Software-Updates, der Führung eines Datenzugriffsprotokolls und zusätzlicher Maßnahmen.
Heute Die PCI-Compliance wird durch das PCI SSC (Standard Security Council) geregelt. Diese Organisation wurde von den wichtigsten Kreditkartenverbänden gegründet: American Express, Visa, MasterCard und Discover. Jedes Kreditkartenunternehmen kann die PCI-Standards nach eigenem Ermessen durchsetzen.
Warum wurde PCI Compliance entwickelt?
PCI Compliance wurde entwickelt, um vor Betrug im stationären und E-Commerce-Einzelhandel zu schützen. Dies geschieht, indem sowohl der Händler als auch der Käufer geschützt werden.
Der Händler ist für die Schaffung eines sicheren Netzwerks verantwortlich. Dazu gehören der Aufbau einer Firewall zum Schutz von Kreditkarteninformationen und die grundlegende Passwortpflege, um ein dynamischeres Netzwerk zu fördern.
PCI-Compliance setzt einen Standard für die Sicherung von Zahlungsdaten durch Einzelhändler, um sicherzustellen, dass alle Einzelhändler diese Verfahren befolgen. Sowohl große Einzelhändler als auch Tante-Emma-Läden müssen sich an diese Regeln halten.
Die verschiedenen PCI-Compliance-Standards
PCI-Compliance gilt für Händler, Hardwarehersteller und Softwareentwickler. Im Folgenden haben wir einige Compliance-Standards genauer beschrieben:
Standards für PIN-Eingabegeräte (PED)
PCI-Konformität richtet sich an Unternehmen, die PIN-akzeptierte Zahlungsgeräte herstellen. Dazu gehören alle EMV-Geräte und Swiped-Transaktionen an Tankstellen und Geldautomaten.
Datensicherheitsstandard für Zahlungsanwendungen (PA-DSS)
PA-DSS geht auf die nächste Stufe und reguliert die Software, die Informationen und Daten von Karteninhabern speichert. PA-DSS soll diese Software vor Sicherheitsverletzungen schützen.
Datensicherheitsstandard (DSS)
PCI DSS ist, wie oben erwähnt, der Standard, den jedes Unternehmen erfüllen muss, um die Zahlungsvorschriften einzuhalten. Einzelhändler müssen dies genau beachten und strenge Verfahrensrichtlinien, Sicherheitsmanagement, Netzwerksicherheit und Software befolgen.
Macht Ihnen der Zahlungsdienstleister
Probleme?
Das tun wir nicht. KORONA POS ist kein Zahlungsabwickler. Das bedeutet, dass wir immer den besten Zahlungsanbieter für die Bedürfnisse Ihres Unternehmens finden werden.
Stufen der PCI DSS-Konformität
Jedes Unternehmen muss die PCI-Standards einhalten, die je nach Art des Geschäfts und der für die Transaktionen verwendeten Kartenmarke variieren. Sie müssen die mit den Zahlungsabwicklungsdiensten getroffenen Vereinbarungen überprüfen oder sich mit Ihnen in Verbindung setzen, um die für Ihr Unternehmen relevante PCI-Stufe zu ermitteln.
So definiert zum Beispiel American Express seine PCI-Stufen:
| Kategorie | Kriterien | Anforderungen |
| Stufe 1 | • 2,5 Millionen oder mehr Transaktionen pro Jahr • Jedes Unternehmen, das von American Express als Level 1 eingestuft wurde | • Jährliche Vor-Ort-Bewertung • Jährlicher Bericht über die Konformitätsbescheinigung (ROC AOC) |
| Stufe 2 | • 50.000 bis 2,5 Millionen Transaktionen pro Jahr | • Jährliche Selbsteinschätzung • Externer Netzwerk-Schwachstellen-Scan (alle 90 Tage) • ASV-Scan-Report-Bescheinigung der Scan-Konformität |
| Stufe 3 | • 10.000 bis 50.000 Transaktionen pro Jahr | • Bericht von Fall zu Fall erforderlich • Jährlicher Fragebogen zur Selbsteinschätzung (SAQ) • ASV-Scan-Bericht-Bescheinigung der Scan-Konformität (alle 90 Tage) |
| Stufe 4 | • Weniger als 10.000 Transaktionen | • Bericht von Fall zu Fall erforderlich • Jährlicher Fragebogen zur Selbsteinschätzung (SAQ) • ASV-Scan-Bericht-Bescheinigung der Scan-Konformität (alle 90 Tage) |
12 PCI-Compliance-Anforderungen für Einzelhändler
Um konform zu bleiben, müssen Einzelhändler 12 wichtige Anforderungen und viele Unteranforderungen erfüllen. Die neuesten PCI-Compliance-Standards ab Juni 2024 lauten wie folgt:
1. Firewalls implementieren
Unternehmen müssen Firewalls konfigurieren, um Netzwerkdaten zu schützen. Diese Sicherheitssysteme filtern ein- und ausgehenden Datenverkehr und verhindern so unbefugten Zugriff auf vertrauliche Informationen.
2. Installieren Sie den Passwortschutz
Einzelhändler müssen strenge Passwortrichtlinien für Benutzer durchsetzen, die auf Systeme zugreifen, die Karteninhaberdaten enthalten. Passwörter müssen komplex sein und regelmäßig aktualisiert werden.
3. Schützen Sie die Daten der Karteninhaber
Die Daten der Karteninhaber müssen vor unbefugtem Zugriff geschützt und durch Tokenisierung und andere Schutzmassnahmen sicher aufbewahrt werden.
4. Karteninhaberdaten verschlüsseln
Die Datenverschlüsselung stellt sicher, dass sensible Karteninhaberinformationen während der Übertragung und Speicherung für unbefugte Benutzer unlesbar sind.
5. Installieren Sie eine Antivirensoftware
Antivirensoftware muss regelmäßig aktualisiert und auf allen Systemen installiert werden, um zu erkennen und zu verhindern, dass bösartige Software auf vertrauliche Informationen zugreift.
6. Aktualisieren Sie die Software regelmäßig
Einzelhändler müssen alle Softwaresysteme, einschließlich Betriebssysteme und Anwendungen, konsequent aktualisieren, um die allgemeine Sicherheit zu verbessern.
7. Beschränken Sie den Zugriff auf Karteninhaberdaten
Nur autorisiertes Personal sollte Zugriff auf die Informationen des Karteninhabers haben, mit strengen Berechtigungen und rollenbasierten Kontrollen.
8. Richten Sie eindeutige IDs für den Zugriff auf Daten ein
Unternehmen müssen allen Benutzern, die auf vertrauliche Informationen zugreifen, eindeutige IDs zuweisen. Letztendlich können Unternehmen so nachvollziehen, wer wann auf Daten zugegriffen hat.
9. Beschränken Sie den physischen Zugriff auf Daten
Der physische Zugang zu Systemen, in denen Karteninhaberdaten gespeichert sind, wie z. B. POS-Systeme, darf nur auf autorisiertes Personal beschränkt werden, das kontrollierte Bereiche und sichere Zugangsprotokolle verwendet.
10. Verwalten Sie Zugriffsprotokolle
Zugriffsprotokolle sollten regelmäßig überwacht werden, um nachzuverfolgen, wer auf sensible Daten zugreift, und um nicht autorisierte oder verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
11. Testen Sie Sicherheitssysteme regelmäßig
Einzelhändler müssen regelmäßig Schwachstellenscans, Penetrationstests und andere Bewertungen durchführen, um Schwachstellen in ihrer Sicherheitsinfrastruktur zu identifizieren und zu beheben.
12. Erstellen und Dokumentieren einer unternehmensweiten Compliance-Richtlinie
Es muss eine klare und dokumentierte PCI-Compliance-Richtlinie vorhanden sein, in der alle Praktiken und Verfahren für den Umgang mit Karteninhaberdaten beschrieben und die Einhaltung von Sicherheitsstandards sichergestellt werden.
Erfahren Sie mehr darüber, wie die Kreditkartenabwicklung funktioniert, und sparen Sie Ihrem Unternehmen Geld mit diesem kostenlosen eGuide.
Wichtige Gründe für Einzelhändler, PCI-konform zu sein
Einzelhändler sind nicht nur auf das Vertrauen der Verbraucher angewiesen, um ihren anhaltenden Geschäftserfolg zu gewährleisten, sondern die Nichteinhaltung der PCI-Vorschriften kann auch zu nachteiligen Geldstrafen führen. Im Folgenden finden Sie die wichtigsten Gründe, warum die Einhaltung der Vorschriften für Ihr Unternehmen Priorität haben sollte:
✅ GRUND 1 – SCHÜTZEN SIE DAS VERTRAUEN DER KUNDEN
- Die PCI-Konformität zeigt den Kunden, dass Sie ihren Datenschutz ernst nehmen. Es hilft, Vertrauen aufzubauen und ermutigt sie, Einkäufe zu tätigen, ohne sich Gedanken über Datenschutzverletzungen oder Betrug machen zu müssen.
✅ GRUND 2 – VERMEIDEN SIE HOHE BUSSGELDER
- Die Nichteinhaltung der PCI-Standards kann zu hohen Geldstrafen von Kartennetzwerken wie Visa oder MasterCard führen. Diese Bußgelder können sich erheblich auf das Endergebnis eines Einzelhändlers auswirken und den Ruf Ihres Unternehmens schädigen.
✅ GRUND 3 – REDUZIEREN SIE DAS RISIKO VON DATENSCHUTZVERLETZUNGEN
- Die PCI-Konformität stellt sicher, dass Sie die notwendigen Sicherheitsmaßnahmen implementieren, um Datenschutzverletzungen zu verhindern. Es reduziert das Risiko des Diebstahls von Kundendaten und schützt Ihr Unternehmen und Ihre Kunden.
✅ GRUND 4 – VERBESSERN SIE DEN RUF DES UNTERNEHMENS
- Kunden, Geschäftspartner und Stakeholder sehen Einzelhändler, die sich an PCI-Standards halten, positiver. Ein konformes Unternehmen zeichnet sich als vertrauenswürdige und verantwortungsbewusste Einheit auf dem Markt aus.
Risiken und Herausforderungen der Nicht-PCI-Konformität
Die Nichteinhaltung von PCI-Standards birgt erhebliche Risiken, die Ihr Geschäft gefährden können. Diese Risiken reichen von finanziellen Verlusten bis hin zu langfristigen Reputationsschäden. Hier ist ein genauerer Blick auf die potenziellen Gefahren.
❌ Risiko 1 – GELDSTRAFEN
- Einzelhändler, die sich nicht an die Vorschriften halten, müssen mit erheblichen Strafen rechnen, die häufig Gebühren für jede kompromittierte Transaktion oder eine feste Gebühr für jeden Monat der Nichteinhaltung umfassen. Diese Gebühren können sich schnell summieren und sich auf Ihr Unternehmen auswirken.
❌ Risiko 2 – VERLUST DES KUNDENVERTRAUENS
- Eine Datenschutzverletzung aufgrund von Nichteinhaltung kann zu einem Verlust des Kundenvertrauens führen. Sobald Kunden das Vertrauen in Ihre Fähigkeit verlieren, ihre Daten zu schützen, können sie ihr Geschäft woanders hin verlagern.
Sprechen Sie mit einem Produktspezialisten, um genau zu erfahren, was Sie brauchen und wie wir Ihnen helfen können.
❌ Risiko 3 – ERHÖHTES RISIKO VON CYBERANGRIFFEN
- Ohne die erforderlichen Sicherheitsprotokolle ist Ihr Unternehmen anfälliger für Cyberangriffe und Hacking-Versuche. Hacker haben es oft auf Einzelhändler mit unzureichenden Schutzsystemen abgesehen, was die Wahrscheinlichkeit von Datenverlust oder -diebstahl erhöht.
❌ Risiko 4 – RECHTLICHE FOLGEN
- Einzelhändler, die sich nicht an die PCI-Vorschriften halten, können mit rechtlichen Schritten von Kunden oder Finanzinstituten konfrontiert werden. Dies kann zu Klagen, weiteren Reputationsschäden und zusätzlichen finanziellen Belastungen führen.
PCI-Compliance-Checkliste für Einzelhändler
Einzelhändler müssen strenge Richtlinien befolgen, um die Informationen der Karteninhaber zu schützen, Betrugsrisiken zu verringern und das Vertrauen zu wahren. Im Folgenden finden Sie eine leicht verständliche Checkliste, die Ihrem Unternehmen hilft, PCI-konform zu bleiben.
Folgendes müssen Sie tun:
✅ Installieren und pflegen Sie eine sichere Firewall zum Schutz der Daten von Karteninhabern.
✅ Verwenden Sie sichere Kennwörter anstelle der vom Anbieter bereitgestellten Standardkennwörter.
✅ Schützen Sie gespeicherte Karteninhaberdaten durch Verschlüsselung.
✅ Verschlüsseln Sie die Übertragung von Karteninhaberdaten über öffentliche Netzwerke.
✅ Aktualisieren Sie regelmäßig die Antivirensoftware , um Malware-Bedrohungen zu verhindern.
✅ Halten Sie sichere Systeme und Anwendungen aufrecht , indem Sie Sicherheitspatches anwenden.
✅ Beschränken Sie den Zugriff auf Karteninhaberdaten auf autorisiertes Personal.
✅ Weisen Sie Benutzern mit Systemzugriff eindeutige IDs zu .
✅ Beschränken Sie den physischen Zugriff auf Karteninhaberdaten und -speicher.
✅ Überwachen und verfolgen Sie den Netzwerkzugriff , um verdächtige Aktivitäten zu erkennen.
✅ Testen Sie regelmäßig Sicherheitssysteme und -prozesse auf Schwachstellen.
✅ Pflegen Sie eine Richtlinie zur Informationssicherheit für alle Mitarbeiter.
Erreichen Sie PCI-Konformität mit KORONA POS
Die Aufrechterhaltung der PCI-Compliance in Ihrem Einzelhandelsgeschäft ist ein fortlaufender Prozess, der konsequente Aufmerksamkeit erfordert.
KORONA POS ist ein reiner Anbieter von POS-Software, kein Kreditkartenverarbeitungsunternehmen . Es lässt sich jedoch in Kreditkartenprozessoren integrieren und unterstützt die PCI-Compliance jedes Händlers durch unser Point-of-Sale-Zahlungssystem.
Nehmen Sie noch heute Kontakt mit uns auf, um mit der Implementierung der besten Sicherheitspraktiken für Ihr Unternehmen zu beginnen!
