PCI DSS ZERTIFIZIERUNG

PCI DSS ist die Abkürzung für Payment Card Industry Data Security Standard und basiert auf den Sicherheitsprogrammen Visa AIS (Account Information Security) und MasterCard SDP (Site Data Protection). Dabei handelt es sich um teilweise extrem aufwendige und kostenintensive Sicherheitsvorkehrungen, die zum Schutz der Datensicherheit von den Kreditkartenunternehmen vorgeschrieben sind und in regelmäßigen Abständen kontrolliert werden müssen. Je nach Anzahl des jährlichen Transaktionsvolumens unterteilen sich die Zertifizierungsanforderungen in vier Kategorien. Für PAYONE als Payment-Service-Provider gelten die strengsten Anforderungen des Levels 1.

Wenn Sie Kreditkartenzahlungen über eigene Systeme verarbeiten oder speichern
Grundsätzlich unterliegt jeder Händler, der Kreditkartenzahlungen über seine Systeme verarbeitet oder speichert, der Zertifizierungspflicht. Werden Kreditkartentransaktionen ohne Zertifizierung abgewickelt, drohen hohe Strafzahlungen und sogar die Abschaltung des Kreditkartenakzeptanzvertrages. Für Sie als Online-Händler bedeutet die eigene Verarbeitung und Speicherung von Kreditkartendaten also ein nicht unerhebliches Risiko, welchem nur durch enormen Aufwand entgegengewirkt werden kann.

Es kommt darauf an. Händler, die keine Kreditkartendaten selber (d. h. in den Händlereigenen Systemen) speichern, verarbeiten oder übermitteln, können eine umfangreiche Zertifizierung vermeiden, wenn sie für die Verarbeitung der Kreditkartendaten einen bereits PCI DSS zertifizierten Payment Service Provider wie PAYONE nutzen. Sie sind trotzdem dazu verpflichtet, einen Nachweis gegenüber den Kreditkartenorganisationen über die Konformität mit dem PCI-Standard zu erbringen.

Um die Auswahl und die Bearbeitung des richtigen Fragebogens für unsere Händler so einfach wie möglich zu halten, bieten wir unseren Händlern den Zugang zu unserer PCI-DSS-Plattform. Mit Hilfe von gezielten Fragen zur Akzeptanz und Abwicklung von Kreditkartendaten wird der für Ihr Unternehmen passende SAQ-Typ ermittelt. Außerdem wird dadurch festgestellt, ob die Durchführung von quartalsweisen Schwachstellenscans notwendig ist, um den Konformitätsnachweis zu erbringen.

Der Selbstbeurteilungsfragebogen wird anschließend mit Erklärungs- und Hilfetexten direkt online zum Ausfüllen und Zwischenspeichern bereitgestellt. Ebenfalls können Sie das Ergebnis von Schwachstellenscans auf unsere PCI-DSS-Plattform hochladen oder diese direkt über unseren Kooperationspartner usd AG zu Vorzugskonditionen beauftragen.

Bei Fragen oder Schwierigkeiten hilft unser PCI-Support telefonisch oder per E-Mail gerne weiter.

Die Nutzung der Client-API ist eine smarte Lösung für Sie als Händler, mit der Sie den Nachweis der PCI CSS Compliance extrem vereinfachen können. Die Client-API ermöglicht die Abwicklung von Zahlungen, ohne dass der Käufer aus Ihrem Onlineangebot herausgeleitet wird. Mittels der „Hosted Multi iFrame Lösung” von PAYONE können Sie PCI DSS relevante Eingabefelder für Kartendaten als einzelne iFrames in Ihr individuelles Zahlungsformular einbinden. So haben Sie größtmögliche Flexibilität bei gleichzeitiger Beibehaltung der PCI DSS Konformität.

Um zuverlässige Datensicherheit zu gewährleisten, betreibt PAYONE multiple Server- und Datenbanksysteme im Echtzeit-Parallelbetrieb als Höchstverfügbarkeitslösung. Die Datenübermittlung, die Speicherung und die Weiterverarbeitung der sensiblen Zahlungsdaten erfolgt ausschließlich verschlüsselt u.a. mithilfe der TLS-Technologie (Transport Layer Security). Dabei wird gewährleistet, dass in keinem Prozessschritt Dritte in Berührung mit den sensiblen Zahlungsdaten kommen. Überprüft wird dieses Höchstmaß an Sicherheit bei PAYONE durch die externe Zertifizierung nach Level 1 des PCI DSS. In einem mehrtägigen Vor-Ort-Audit werden alle sicherheitsrelevanten Bereiche bis ins Detail geprüft und mit den strengen Anforderungen des PCI-Standards abgeglichen. Hierzu zählen in erster Linie die Aktualität und permanente Sicherheit der IT-Infrastruktur sowie die eingesetzten Verschlüsselungs- und Abwehrtechnologien. Auch alle internen Prozesse und Richtlinien werden vor dem Hintergrund der Sicherheit der sensiblen Kreditkartendaten genauestens überprüft und protokolliert. Das Audit geht sogar über die reine Überprüfung vorhandener Systeme hinaus: Vierteljährlich wird mit realen Attacken auf das System nach Schwachstellen gesucht. Bei so genannten Penetration-Tests wird durch externe Angriffe getestet, ob es möglich ist das System zu kompromittieren. So können rechtzeitig Sicherheitsschwachstellen erkannt und behoben werden und so kriminellen Aktionen vorweg der Weg versperrt werden.

„Multi-Compliance“ ist die sog. „Vererbung“ des PCI-Selbstauskunftsfragebogens von einem Ansprechpartner einer Filiale an weitere Filialen (oder Kundennummern).

Hat Ihr Unternehmen mehrere Filialen, war bislang die übergeordnete Hauptstelle verpflichtet, alle zugewiesenen Filialen in einem PCI- Selbstbeurteilungsfragebogen (SAQ) aufzuführen und somit die PCI Compliance über diese Filialen nachzuweisen. Zukünftig kann die PCI Compliance mehrerer Filialen weiterhin über einen Ansprechpartner erbracht werden.

Dank des neuen Multi-Compliance-Prozesses ist dieses jetzt mittels der „Vererbung“ des ausgefüllten SAQ-Fragebogens an die Filialen möglich. Der in Ihrem Unternehmen autorisierte PCI-Verantwortliche füllt den Fragebogen nur einmal aus und weist diesen den weiteren zugehörenden Filialen, die auf der PCI Plattform gespeichert sind, zu.

• Vereinfachte PCI DSS Compliance bei Nutzung der PAYONE Plattform über die Client-API
• Unterstützung bei der Einstufung und Beantwortung der Fragen auf der PCI-DSS-Plattform
• Support per Telefon und E-Mail von den Experten des PAYONE PCI DSS Competence Centers
• Maximale Sicherheitsstandards für Kundendaten bei PAYONE
• Risikolose Möglichkeit zur Akzeptanz von Kreditkartenzahlungen
• Sichere Abwicklung von Kreditkartenzahlungen ohne Mehraufwand