Was bedeutet PCI DSS?

FAQ rund um PCI DSS

PCI DSS ist die Abkürzung für „Payment Card Industry Data Security Standard“ und basiert auf den Sicherheitsprogrammen der Kartenorganisationen Visa, Mastercard SDP, Union Pay International und Diners/Discover.

Dabei handelt es sich um Sicherheitsvorkehrungen, die zum Schutz der Datensicherheit von den Kreditkartenunternehmen vorgeschrieben sind und in regelmäßigen Abständen kontrolliert werden müssen. Je nach Anzahl übermittelter Transaktionen p.a. werden die Händler in vier PCI Kategorien eingeteilt. Für PAYONE als Acquirer und Payment-Service-Provider gelten die strengsten Anforderungen des Levels 1.

Auf dieser Seite erklären wir, warum der Payment Card Industry Data Security Standard für alle Händler, die Kreditkartenzahlungen verarbeiten, relevant ist und was Sie dazu wissen müssen.

PCI DSS

Was ist PCI DSS?

PCI DSS ist die Abkürzung für „Payment Card Industry Data Security Standard“. Mit dem PCI DSS schreiben die Kreditkartenorganisationen vor, welche Sicherheitsvorkehrungen Händler und Zahlungsdienstleister zum Schutz der Datensicherheit einhalten müssen.

Händler und Zahlungsdienstleister sind dazu verpflichtet, die PCI DSS-Konformität in regelmäßigen Abständen zu kontrollieren und nachzuweisen. Je nach Anzahl übermittelter Transaktionen p.a. werden die Händler in vier PCI Kategorien eingeteilt. Für PAYONE als Acquirer und Payment-Service-Provider gelten die strengsten Anforderungen des Levels 1.
Was bedeutet der PCI DSS für Sie als Händler?

Grundsätzlich unterliegt jeder Händler, der Kreditkartenzahlungen über seine Systeme verarbeitet oder speichert, der Zertifizierungspflicht. Werden Kreditkartentransaktionen ohne Zertifizierung, also ohne die Einhaltung der Sicherheitsvorgaben, abgewickelt, drohen hohe Strafzahlungen der Kartenorganisationen oder gar die Abschaltung des Kreditkartenakzeptanzvertrages. Für Sie als Händler bedeutet die eigene Verarbeitung und Speicherung von Kreditkartendaten also ein nicht nur unerhebliches Risiko, sondern auch den Verlust an Kundenreputation.
Bin ich zur Einhaltung von PCI DSS verpflichtet?

Ja, wenn Sie Kreditkartenzahlungen anbieten, verpflichten Sie sich den PCI DSS Sicherheitsstandard zu erfüllen.

Der PCI DSS Standard ist laut den Regularien der Kreditkartenorganisationen von allen Unternehmen einzuhalten, die Kreditkartendaten technisch verarbeiten oder speichern. Die Einbindung zertifizierter Produkte eines Zahlungsdienstleisters, wie z. B. PAYONE, führen dazu, dass sich ein PCI DSS Konformitätsnachweis unter Umständen schnell und unkompliziert erstellen lässt. Im Bedarfsfall fordert PAYONE seine Kunden zur Abgabe eines Konformitätsnachweises auf der PCI Plattform auf.
Ist eine Zertifizierung notwendig?

Ja, eine Zertifizierung ist notwendig, wenn Sie Kreditkartenzahlungen verarbeiten. Sie sind immer dazu verpflichtet, einen Nachweis gegenüber den Kreditkartenorganisationen über den aktuellen PCI DSS Standard erbringen zu können. Informationen zum Zertifizierungsprozess und zur Compliance-Validierung finden Sie hier.
Wie zertifiziere ich mich bei PAYONE nach PCI DSS?

PAYONE übermittelt an diejenigen Händler, die die PCI Compliance auf der PCI Plattform nachweisen müssen, einen Link und ein Passwort. Der Händleransprechpartner für PCI kann sich nun auf der PCI Plattform anmelden und wird systemisch durch die weiteren Schritte geführt.

Um die Auswahl und die Bearbeitung des richtigen PCI Fragebogens für unsere Händler so einfach wie möglich zu halten, bieten wir den Zugang zu unserer PCI-DSS-Plattform an. Mithilfe von gezielten Fragen zur Akzeptanz und Abwicklung von Kreditkartendaten wird der für Ihr Unternehmen passende PCI Fragebogen (SAQ)-Typ ermittelt. Außerdem wird dadurch festgestellt, ob die Durchführung von quartalsweisen, externen Schwachstellenscans notwendig ist, um den Konformitätsnachweis zu erbringen.

Der Selbstbeurteilungsfragebogen wird anschließend mit Erklärungs- und Hilfetexten direkt online zum Ausfüllen und Zwischenspeichern bereitgestellt. Ebenfalls können Sie das Ergebnis von externen Schwachstellenscans auf unsere PCI-DSS-Plattform hochladen oder diese direkt über unseren PCI Kooperationspartner, usd AG, zu Vorzugskonditionen beauftragen.

Zu den Portalen
Welche Vorteile bietet die PCI DSS-Zertifizierung über PAYONE?

Vereinfachte PCI DSS Compliance bei Nutzung der PAYONE Plattform über die Client-API

Support per Telefon und E-Mail von den Experten des PAYONE PCI DSS Competence Centers

Unterstützung bei der Einstufung und Beantwortung der Fragen auf der PCI-DSS-Plattform

Maximale Sicherheitsstandards für Kundendaten bei PAYONE

Risikolose Möglichkeit zur Akzeptanz von Kreditkartenzahlungen

Sichere Abwicklung von Kreditkartenzahlungen
Für Online-Händler: Unsere Client API

Die Nutzung der Client-API ist eine smarte Lösung für Sie als Händler, mit der Sie den Nachweis der PCI DSS Compliance extrem vereinfachen können. Die Client-API ermöglicht die Abwicklung von Zahlungen, ohne dass der Käufer aus Ihrem Onlineangebot herausgeleitet wird. Mittels der „Hosted Multi iFrame Lösung” von PAYONE können Sie PCI DSS relevante Eingabefelder für Kartendaten als einzelne iFrames in Ihr individuelles Zahlungsformular einbinden. So haben Sie größtmögliche Flexibilität bei gleichzeitiger Beibehaltung der PCI DSS Konformität.
Warum Ihre Daten bei PAYONE sicher sind?

Um zuverlässige Datensicherheit zu gewährleisten, betreibt PAYONE multiple Server- und Datenbanksysteme im Echtzeit-Parallelbetrieb als Höchstverfügbarkeitslösung. Die Datenübermittlung, die Speicherung und die Weiterverarbeitung der sensiblen Zahlungsdaten erfolgt ausschließlich verschlüsselt u.a. mithilfe der TLS-Technologie (Transport Layer Security). Dabei wird gewährleistet, dass in keinem Prozessschritt Dritte in Berührung mit den sensiblen Zahlungsdaten kommen.

Überprüft wird dieses Höchstmaß an Sicherheit bei PAYONE durch die externe Zertifizierung nach Level 1 des PCI DSS. In einem mehrtägigen Vor-Ort-Audit werden alle sicherheitsrelevanten Bereiche bis ins Detail geprüft und mit den strengen Anforderungen des PCI-Standards abgeglichen. Hierzu zählen in erster Linie die Aktualität und permanente Sicherheit der IT-Infrastruktur sowie die eingesetzten Verschlüsselungs- und Abwehrtechnologien. Auch alle internen Prozesse und Richtlinien werden vor dem Hintergrund der Sicherheit der sensiblen Kreditkartendaten genauestens überprüft und protokolliert. Das Audit geht sogar über die reine Überprüfung vorhandener Systeme hinaus: Vierteljährlich wird mit realen Attacken auf das System nach Sicherheitsschwachstellen gesucht. Bei sogenannten Penetration-Tests wird durch externe Angriffe getestet, ob es möglich ist, das System zu kompromittieren. So können rechtzeitig Sicherheitsschwachstellen erkannt und behoben werden und so kriminellen Aktionen vorweg der Weg versperrt werden.