Die PCI-Standards wurden vom PCI Security Standards Council entwickelt, um Betrügereien bei Online-Zahlungen über Kreditkarten einzudämmen. Es wurde ein Mindeststandard für die Datensicherheit der Verbraucher:innen geschaffen, um das Vertrauen in Online-Zahlungssysteme zu verbessern und zu stärken. Unternehmen, die Daten von Kreditkarteninhaber:innen verarbeiten, müssen die Anforderungen der PCI-Compliance erfüllen.
Befolgen Unternehmen diesen Standard nicht, sind oft hohe Geldstrafen die Folge. In diesem Beitrag zeigen wir dir, welche Anforderungen du erfüllen musst, um Sanktionen zu vermeiden.
Warum ist PCI-Compliance wichtig?
Die PCI-Anforderungen zu erfüllen, heißt geeignete Maßnahmen zu ergreifen, um betreffende Daten vor Cyber-Diebstahl und Betrug zu schützen. Wenn du diese nicht erfüllst, hat das Auswirkungen auf dein Unternehmen und deine Kund:innen. Folgen können Cyber-Angriffe, potenzieller Umsatz-, Kunden- und Vertrauensverlust sein.
Bist du bereit, deine Idee zum Leben zu erwecken?
Teste Shopify kostenlos und verkaufe, wo du willst!
Inhaltsverzeichnis:
- Was ist PCI-Compliance?
- Anforderungen der PCI-Compliance
- Strafen bei Verstößen
- Wie wird die PCI-Compliance bestätigt?
Was ist PCI-Compliance?
Der PCI DSS, oder auch Payment Card Industry Data Security Standard, wurde 2006 vom Payment Card Industry (PCI) Security Standards Council (einem Zusammenschluss der großen Kreditkartenanbieter:innen) als Reaktion auf steigende Zahlen von Online-Transaktionen erarbeitet. Für Unternehmen, die Kreditkartenzahlungen abwickeln, besteht seitdem die Verpflichtung zum Nachweis der PCI-Compliance im Rahmen eines Zertifizierungsverfahrens.
Ab den frühen 2000ern ist die Zahl der Unternehmen, die Zahlungen per Kreditkarte über das Internet akzeptieren, stark angestiegen. Dadurch stieg auch bei den Verbraucher:innen die Akzeptanz für Online-Kreditkartenzahlungen.
Lesetipp:Was ist einEPOS-System und wie funktioniert es?
Jedoch stellten die fünf größten Kreditkartenanbieter:innen (Visa, MasterCard, American Express, Discover und JCB) schnell fest, dass auch Datendiebstähle immer häufiger auftraten. Auch um auf dieses Problem reagieren zu können, wurde der PCI DSS entwickelt. Dieser definiert Standards für eine sichere Zahlungsabwicklung. So kann gewährleistet werden, dass Verkäufer:innen bei der Erfassung, Speicherung, Verarbeitung und Übertragung von Daten der Karteninhaber:innen bei Kreditkartentransaktionen geeignete Sicherheitsvorkehrungen anwenden. Ziel ist es, den Missbrauch von Verbraucher- und Bankdaten zu verhindern oder zumindest einzudämmen. Diese allgemeinen Standards sowie die Gründung des PCI Security Standards Council bedeuteten einen entscheidenden Schritt zur Regulierung von Online-Zahlungsabwicklungen und zum Schutz von Verbraucher:innen und Unternehmen vor Cyber-Angriffen.
Lesetipp: Welche AufgabenShop-Manager:innenhaben, zeigen wir dir in diesem Beitrag.
Anforderungen der PCI-Compliance
Jedes Jahr müssen Unternehmen sicherstellen, dass sie die PCI DSS einhalten, indem sie eines der offiziellen PCI SSC-Validierungsdokumente ausfüllen. Werden die Anforderungen nicht erfüllt, muss mit Strafen und Kosten gerechnet werden.
Die PCI-Compliance verringert das Risiko einer Datenverletzung durch Cyber-Angriffe – jedoch wird die Chance eines Verstoßes nicht vollständig ausgeschlossen. Kartenanbieter:innen können die PCI-Bußgelder aber deutlich senken, wenn betreffende Händler:innen alle notwendigen Schritte unternehmen, um die Anforderungen zu erfüllen.
Folgende technischen und betriebliche Standards müssen für die PCI-Compliance erfüllt sein:
Pflege und Aufbau eines sicheren Netzwerks
Alle Unternehmen sind zur Installation und Pflege einer Firewall-Konfiguration zum Schutz der Kreditkartendaten verpflichtet.
Schutz der Daten von Karteninhaber:innen
Unternehmen, die die Daten der Karteninhaber:innen nach der Transaktion zur Wiederverwendung für zukünftige Zahlungen speichern, sind von dieser Anforderung betroffen – gespeicherte Daten müssen unbedingt geschützt werden!
Bei der Übertragung der Karteninhaberdaten über offene, öffentliche Netzwerke müssen die Daten verschlüsselt sein.
Lesetipp:Was ist eigentlich derPoint of Sale?
Nutzung und regelmäßige Aktualisierung von Virenschutzprogrammen
Zum Schutz der Systeme müssen Virenschutzprogramme eingesetzt und regelmäßig aktualisiert werden. Werden Daten auf ausgelagerten Servern gehostet, gilt diese Anforderung für den jeweiligen Serveranbieter bzw. die Serveranbieterin.
Strenge Maßnahmen zur Zugriffssteuerung
Ein weiterer wesentlicher Schritt zur Reduzierung des Risikos von Sicherheitsverstößen ist die Beschränkung des Zugriffs auf vertrauliche Daten auf eine möglichst kleine Gruppe befugter Mitarbeiter:innen. Dies erreichen Unternehmen, indem jeder, der zum Zugriff berechtigt ist, eine eindeutige ID erhält.
Einführung einer Richtlinie zur Gewährleistung der Datensicherheit
Als letzter Standard sollten Regeln für die zulässige Nutzung von Technologie, Überprüfungen und jährliche Verfahren zur Risikoanalyse, betriebliche Sicherheitsverfahren und andere allgemeine Verwaltungsaufgaben festgelegt werden.
Kostenloses Webinar: In 30 Minuten zum eigenen Onlineshop
Du willst selbst mal sehen, wie schnell du einen Shop aufsetzen kannst?
Der Shopify-Experte und leidenschaftliche Shop-Betreiber Adrian Piegsa zeigt dir, wie du dich anmeldest, eine Domain verknüpfst, Produkte auswählst und natürlich alle rechtlichen Vorgaben umsetzt.
Jetzt kostenlos teilnehmenStrafen bei Verstößen
Alle im vorangegangenen Abschnitt aufgeführten Anforderungen gelten für sämtliche Hardware und Web-Anwendungen, dazu zählen:
- Verkaufsterminals
- Kartenlesegeräte
- Netzwerke und WLAN-Router in Geschäften
- Anwendungen und Warenkörbe zur Abwicklung von Online-Zahlungen
- Speicherung und Übertragung von Zahlungskartendaten
- Gespeicherte Zahlungskartendaten in Papierform
Die Ausführung und Aufrechterhaltung der Anforderungen der PCI-Compliance sind für viele Händler:innen kein leichtes Unterfangen. Oft müssen Sicherheitskontrollen veranlasst, externe Berater:innen bei der Installation kostspieliger Soft- und Hardware hinzugezogen und verbindliche Verträge unterzeichnet werden, unter denen sie den Bedingungen der Bank für die jährliche Überprüfung der PCI-Compliance zustimmen müssen. Ebenfalls erforderlich sind in der Regel jährliche Selbstbewertungen.
Lesetipp:Alles zuPOS-Kassensystemenkannst du in diesem Beitrag nachlesen.
Aber wie sehen die Strafen bei einer Nichteinhaltung aus? Laut dem PCI-Compliance Blog werden Geldbußen nicht gemeldet oder veröffentlicht, sondern in der Regel an die Händler:innen durchgereicht. Die Banken geben diese Geldbußen in Form erhöhter Transaktionsgebühren oder durch die Kündigung von Geschäftsbeziehungen an die Händler:innen weiter.
Die Bußgelder können zwischen 5.000 und 100.000 USD pro Monat variieren, bis die Händler:innen PCI-Compliance erreichen. Für große Banken sind diese Beträge realistisch, aber kleine Unternehmen können diese Summen schnell in den Bankrott treiben.
Die Compliance von Shopify deckt alle sechs PCI-Standardkategorien ab und gilt für jeden Shop, der unsere Plattform nutzt. Shopify ist als PCI DSS-konform der Stufe 1 zertifiziert. Diese Konformität gilt standardmäßig für alle von Shopify betriebenen Shops.
Informationen zu den PCI-Compliance-Berichten von Shopify findest du imHelp Center.
Wie wird die PCI-Compliance bestätigt?
Alle Kreditkartenunternehmen haben eigene Compliance-Validierungsstufen, die es einhalten muss. Du hast als Händler:in entweder die Möglichkeit, deine eigenen PCI-Compliance Self-Assessment Questionaire (SAQ) durchzuführen oder einen Vertrag mit einem zertifizierten PCI Quality Assessor (QSA) abzuschließen.
Lesetipp:So findest du die richtigePOS-App.
PCI QSAs sind für die Durchführung von PCI-Sicherheitsbewertungen zertifiziert und geschult. Du kannst aber auch ein SAQ-Formular ausfüllen, das eine Reihe von Ja- oder Nein-Fragen enthält, mit denen dein Konformitätsgrad mit dem PCI DSS bestimmt wird. Jedes Unternehmen muss diesen SAQ ausfüllen und den Quartalsbericht an die dafür vorgesehene Organisation übermitteln.
Unsere erfolgreichen Händler:innen geben dir unserem Podcast Tipps für die Gründung deines eigenen Unternehmens. Anhören lohnt sich!
Fazit
Durch die Technologien, die es Kund:innen ermöglichen, schnell und bequem zu zahlen, war es für Hacker:innen leicht, sich Zugriff auf sensible Daten zu verschaffen. Daher müssen kleine Unternehmen, die Kreditkartenzahlungen nur in geringem Umfang abwickeln, genauso strenge Anforderungen zur Sicherung der Kartendaten erfüllen, wie große Einzelhändler:innen, die unzählige Transaktionen verarbeiten.
Werden diese Standards des PCI DSS eingehalten, bieten sie allen Unternehmen einen starken Schutz vor Cyberkriminalität und erzeugen eine höhere Kundenzufriedenheit und -sicherheit.
Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Steuer- oder Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechts- oder Steuerberatung für Informationen, die spezifisch für dein Land und deine Umstände gelten. Shopify haftet in keiner Weise für deine Verwendung oder dein Vertrauen in diese Informationen.
Bist du bereit, deine Idee zum Leben zu erwecken?
Teste Shopify kostenlos und verkaufe, wo du willst!
Häufig gestellte Fragen zur PCI-Compliance
Was ist eine PCI-Zertifizierung?
Wie oft muss der Nachweis zur PCI-Compliance erbracht werden?
Für wen gilt die PSC DSS?
Was kostet es, PCI-konform zu werden?
Über die Autorin:Alice Viete ist Content-Marketing-Expertin. Als Inhaberin einer Agentur unterstützt sie B2B- und E-Commerce-Unternehmen bei der Umsetzung ihrer individuellen Content-Strategie. Im Shopify-Blog schreibt sie über erfolgreiche Händler:innen sowie aktuelle Themen im Onlinehandel.