Geben Sie oben den Suchbegriff ein und drücken Sie die Eingabetaste. Drücken Sie Esc, um die Suche abzubrechen.

eCommerce

Alles, was Sie über PCI-Compliance wissen sollten

Alles, was Sie über PCI-Compliance wissen sollten

Heutzutage ist das Akzeptieren von Kreditkarten Gang und Gebe. Besonders in der Gastronomie sind kontaktlose Zahlungen mittlerweile unverzichtbar. Das bedeutet allerdings auch, dass Sie die Kreditkartendaten und persönlichen Informationen sicher aufbewahren müssen. Die Einhaltung der PCI-Standards für kleine Unternehmen ist der beste Weg, um Kundendaten zu schützen und Gebühren zu vermeiden, die bei Verstössen gegen die PCI-Compliance anfallen.

Sicherheit, Konformität, Kreditkartenbetrug – das ist der Teil Ihres Unternehmens, in dem sich der Spass in Grenzen hält, aber wenn Sie Kreditkarten als Zahlungsmittel akzeptieren wollen, müssen Sie PCI-konform sein.

Also was genau ist PCI-Compliance? Warum ist es wichtig? Und wie stellen Sie sicher, dass Sie Transaktionen auf sichere Weise abwickeln? Dieser Leitfaden führt Sie durch die Grundlagen der PCI-Compliance, damit Sie ein besseres Verständnis darüber haben, was es bedeutet, wie wichtig es ist und welche Konsequenzen bei Nichteinhaltung des PCI-Standards drohen können.

Zettelwirtschaft adé

Ob Restaurant, Bar, Café oder Fine Dining: Digitalisieren Sie Ihre Gastronomie mit dem smarten All-in-one Kassensystem von Lightspeed

Was ist PCI-Compliance?

PCI (kurz für PCI DSS) steht für Payment Card Industry Data Security Standard. Es handelt sich dabei um eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung zum Schutz sowohl des Verbrauchers als auch des Händlers unterhalten.

Wenn ein Kunde mit Kreditkarte bei Ihnen bezahlt, erhalten Sie eine ganze Reihe an sensitiven Daten. Daher setzt der PCI DSS Anforderungen für folgende Aspekte fest.

  1. Richtlinien und Verfahren
  2. Sicherheitsmanagement
  3. Netzwerkarchitektur
  4. Software-Geräte
  5. Andere kritische Schutzmassnahmen

Kreditkarte und Laptop

Muss mein Unternehmen PCI-konform sein?

Ja. Jeder Händler oder Gastronom, unabhängig der Grösse seines oder ihres Unternehmens, der Kreditkarten als Zahlungsmittel akzeptiert oder persönliche Zahlungsinformationen verarbeitet, überträgt oder speichert, muss allen Anforderungen des PCI-Standards gerecht werden.

Wenn Sie Kredit- oder Debitkarten akzeptieren, ist die PCI-Compliance für kleine Unternehmen ein Muss, unabhängig von der Grösse Ihres Unternehmens. Sie müssen alle geltenden Standards einhalten, auch wenn Sie nur eine Kreditkartentransaktion pro Jahr verarbeiten.

Wenn Ihr Unternehmen mehrere Standorte mit separaten Steuernummern hat, müssen Sie die PCI-Compliance an jedem einzelnen Standort validieren. Wenn alle Ihre Standorte unter einer Steuernummer betrieben werden, müssen Sie die PCI-Compliance in der Regel nur einmal jährlich für alle Standorte validieren. Gegebenenfalls müssen Sie auch vierteljährliche Netzwerk-Scans für jeden Standort durchführen.

Welcher PCI-Stufe unterliegt mein Unternehmen?

Für Händler kann das Ermitteln der erforderlichen PCI-Stufe knifflig sein und hängt oft davon ab, wie viele Transaktionen Sie pro Jahr abwickeln, sowie vom Kreditkartenanbieter.

Stufe 1

  • Jeder Händler, der unabhängig vom Kanal pro Jahr mehr als 6 Millionen MasterCard- oder Visa-Transaktionen abwickelt
  • Ein Händler, der Opfer eines Hacks wurde, der zu einer Datengefährdung führte
  • Jeder Händler, der von einer Kreditkartenfirma als Stufe 1 eingestuft wird

Level 2

  • Jeder Händler, der 1 bis 6 Millionen MasterCard- oder Visa-Transaktionen pro Jahr verarbeitet

Level 3

  • Jeder Händler, der 20 Tausend bis 1 Million eCommerce-Transaktionen mit MasterCard oder Visa verarbeitet

Level 4

  • Jeder Händler, unabhängig vom Kanal (Karte vorhanden, Karte nicht vorhanden, etc.)

Wenn Ihr Unternehmen unter eine dieser vier Stufen fällt, empfehlen wir Ihnen, sich mit dem PCI-Rat in Verbindung zu setzen, um Ihre Konformität zu überprüfen.

Wenn Sie sich über die PCI-Standards der einzelnen Kreditinstitute auf dem Laufenden halten möchten, klicken Sie unten auf den entsprechenden Kartenanbieter:

Was sind PCI-Anforderungen?

Zu den Anforderungen, die Sie für die PCI-Compliance von Kleinunternehmen erfüllen müssen, gehören die folgenden.

  • Ihr Kassensystem muss auf dem neuesten Stand sein

Sie müssen Kreditkartenterminals und PIN-Pads verwenden, die aktuell sind und dem PCI Data Security Standard (DSS) entsprechen.

  • Ihre Kassensystem (POS) und Ihre Payment-Gateway-Software muss PCI-konform und validiert sein.
  • Ihr WLAN-Router muss verschlüsselt und passwortgeschützt sein.
  • Sie müssen Ihre PIN-Pads und alle anderen Geräte zur PIN-Eingabe überprüfen, um sicherzustellen, dass keine Skimmer installiert wurden.

Als Skimmer werden Geräte bezeichnet, die Kriminelle an PIN-Pads anbringen, um Kreditkarteninformationen abzufangen, wenn eine Karte durchgestrichen oder eingegeben wird, und sie können viele Formen annehmen. Überprüfen Sie ausserdem Ihre Computer auf schädliche Software oder ausführbare Dateien.

  • Sie dürfen keine Karteninhaberdaten auf irgendeine Weise speichern

Dazu gehört alles, von der Speicherung auf einem Computer bis zum Notieren einer Kreditkartennummer auf einem Stück Papier. Wenn Ihr Kreditkartenterminal und Ihr PIN-Pad PCI-konform sind, sind sie so programmiert, dass Sie diese Anforderung automatisch einhalten.

  • Sie müssen sichere Kennwörter verwenden

Dazu sollten Sie alle Standard-Passwörter sofort ändern und von Ihren Mitarbeitern verlangen, dass sie die Passwörter regelmässig ändern. Erwägen Sie die Verwendung eines Passwort-Generators, um sichere Passwörter zu erstellen.

  • Sie müssen Ihre Mitarbeiter über die PCI-Compliance für kleine Unternehmen schulen

Es gibt Online-Kurse und Videos, die Sie dabei unterstützen.

  • Sie müssen Firewalls auf Ihren Computern und Ihrem internen Netzwerk installieren.

Das Betriebssystem Ihres Computers verfügt wahrscheinlich bereits über eine Firewall als Teil der Sicherheitssoftware, aber stellen Sie sicher, dass sie ordnungsgemäss funktioniert. 

Warum ist PCI-Compliance und Sicherheit so wichtig?

Wurden Sie schon einmal mit Ihrer persönlichen Kreditkarte betrogen? Die PCI-Standards sollen dazu beitragen, alle Teilnehmer des Karten-Ökosystems vor genau diesem Problem zu schützen.

Wenn es zu einem Diebstahl oder einer Verletzung von Karteninhaberdaten kommt, verlieren Karteninhaber das Vertrauen in ihre Finanzinstitute sowie in die Händler, mit denen sie Geschäfte machen. Es besteht auch die Möglichkeit grosser negativer finanzieller Auswirkungen für Sie und Ihre Kunden. 

Was passiert, wenn mein Unternehmen nicht PCI-konform ist?

Die Nichteinhaltung der PCI DSS-Vorschriften kann zu hohen Strafen und Gebühren führen. Des Weiteren können Sie das Recht verlieren, Kreditkarten-Transaktionen zu verarbeiten.

Im Falle eines Verstosses oder eines Hacks kann dem Händler Folgendes drohen:

  • Bussgelder von den Kartenverbänden
  • Forensische Untersuchung
  • Ausstellende Banken können die Kosten für die Neuausstellung vom Händler zurückfordern (einschliesslich möglicher Betrugsverluste und Kosten für die Betrugsüberwachung)
  • Rechtsstreitigkeiten
  • Staatliche Bussgelder
  • Schaden für Ihre Marke und Ihren Ruf

Die Erstellung eines Plans zur PCI-Compliance und dessen regelmässige Aktualisierung kann dazu beitragen, Datenschutzverletzungen zu verhindern, Ihre Kosten niedrig zu halten und das Vertrauen und die Loyalität Ihrer Kunden zu erhalten.

Wie kann mein Unternehmen die PCI-Standards erfüllen?

Um die PCI-Standards zu erfüllen, muss jeder Händler eine Reihe von Schritten durchlaufen.

Die Validierung für Händler der Stufen 2, 3 und 4 wird über einen jährlichen Fragebogen zur Selbsteinschätzung (SAQ) abgeschlossen. Falls zutreffend, können auch vierteljährliche Netzwerk-Scans durch einen zugelassenen Scan-Anbieter (ASV) durchgeführt werden.

Händler der Stufe 1 müssen sich einer strengeren Validierung unterziehen, während Händler der Stufen 2, 3 und 4 keine externe Validierung durchlaufen müssen und im Ermessen der akquirierenden Bank liegen.

Achten Sie darauf, dass Sie alle Validierungsunterlagen immer griffbereit haben.

Je nach Klassifizierung oder Risikostufe eines Händlers (bestimmt durch die einzelnen Kreditinstitute oder Ihre PCI-Stufe) sind die folgenden Schritte zu befolgen:

  • PCI DSS-Scoping. Ermitteln Sie, welche Systemkomponenten und Netzwerke für Ihr Unternehmen in den Geltungsbereich von PCI DSS fallen.
  • Bewertung. Prüfen Sie die Konformität der Systemkomponenten im Geltungsbereich gemäss den Testverfahren für jede PCI DSS-Anforderung (die entsprechende SAQ kann als Leitfaden verwendet werden).
  • Berichterstattung. Der Prüfer oder das Unternehmen reicht die erforderliche Dokumentation ein, wie den Fragebogen zur Selbsteinschätzung (SAQ) oder den Bericht zur Konformität (ROC), einschliesslich der Dokumentation aller kompensierenden Kontrollen.
  • Klarstellungen. Der Prüfer oder das Unternehmen klärt oder aktualisiert die Berichtsangaben (falls zutreffend) auf Anfrage der erwerbenden Bank oder der Kreditkartenfirma.

Erleichtern Sie sich das Leben mit einem PCI-konformen Kassensystem

Auch wenn es für jeden Händler wichtig ist, zu verstehen, warum PCI DSS so wichtig ist, ist die gesamte Hard- und Software von Lightspeed Payments bereits PCI Stufe 1 zertifiziert. 

Wir stellen ausschliesslich PCI-konforme Hard- und Software zur Verfügung und unterhalten eine PCI-konforme Plattform. Unser integriertes Zahlungssystem bietet eine Ende-zu-Ende-Verschlüsselung für jede Transaktion und Tokenisierung der Daten in der Sekunde, in der sie unsere Server erreichen.

Kontaktieren Sie uns, um mehr über den technischen Ansatz von Lightspeed im Bereich Sicherheit zu erfahren. 

Hinweis des Autors: Dieser Blog-Beitrag ist nicht als Beratung jeglicher Art zu verstehen. Jeglicher rechtlicher, finanzieller oder steuerlicher Inhalt wird nur zu Informationszwecken zur Verfügung gestellt und ist kein Ersatz für die Beratung durch einen qualifizierten Rechts- oder Buchhaltungsexperten. Soweit verfügbar, haben wir die Quellen der in diesem Blogbeitrag enthaltenen Informationen aus erster Hand angegeben. Obwohl wir uns bemühen, korrekte Inhalte zur Verfügung zu stellen, können wir nicht für Handlungen oder Unterlassungen verantwortlich gemacht werden, die auf solchen Inhalten beruhen. Lightspeed verpflichtet sich nicht, weitere Überprüfungen vorzunehmen oder diesen Beitrag im Laufe der Zeit zu aktualisieren.

Nachrichten und praktische Tipps, speziell für Sie.

Alles was Ihr Unternehmen braucht, um zu wachsen - direkt in Ihr Postfach geliefert.

Mehr zu diesem thema: Zahlungen