Ob Sie neu in der Welt von PCI sind oder den Prozess bereits durchlaufen haben, Sie wissen wahrscheinlich, dass PCI und die Sprache darum herum komplex und sogar verwirrend sein können.

Sie jonglieren schon mit den Herausforderungen von Produktion und Betrieb, und jetzt müssen Sie auch noch PCI-Compliance in den Mix werfen.

Die gute Nachricht ist, dass der Weg zur PCI DSS-Compliance für Startups und wachsende Unternehmen etwas weniger komplex ist als für ein Unternehmen auf Unternehmensebene.

Wir durchbrechen das mehrdeutige Vokabular, das PCI schwer verständlich machen kann, und heben genau hervor, was Sie wissen müssen, um PCI-konform zu werden.

Legen wir los!

Was bedeutet es, PCI-konform zu sein?

PCI-Compliance ist der Prozess, der sicherstellt, dass Karten-Transaktionen und die Art und Weise, wie Unternehmen Karteninhaberdaten speichern und darauf zugreifen, bestimmten Sicherheitsstandards entsprechen.

Diese Standards werden von einer Gruppe spezifischer Kreditkartenmarken definiert, die gemeinsam den PCI Security Standards Council (PCI SSC) bilden.

PCI-Standards sind so konzipiert, dass sie Karteninhaberdaten vor Betrug schützen und das Kundenvertrauen stärken, damit sich Menschen wohl fühlen, wenn sie ihre Kreditkarten online benutzen.

Die Vorteile der PCI-Compliance umfassen:

• Erhöhten Schutz der Kartendaten der Kunden
• Stärkung des Kundenvertrauens in die Nutzung von Kartenzahlungen
• Angebot eines Sicherheitsstandards zur Einhaltung
• Verbesserung der betrieblichen Effizienz
• Senkung der Kosten einer Datenverletzung

Muss ich als kleines Unternehmen PCI-konform sein?

Wenn Ihr Unternehmen Debit-, Kredit- oder Bargeldkarten als Zahlungsmethode akzeptiert, müssen Sie PCI-konform sein.

Zusätzlich, wenn Sie ein Dritter sind, der die Sicherheit von Kreditkartentransaktionen beeinflussen kann, wie ein Zahlungsabwickler, gilt PCI-Compliance auch für Sie.

Die Kosten der Nicht-Einhaltung von PCI können zu finanziellen Strafen führen, die zwischen 5.000 und 10.000 Dollar pro Monat liegen — oder mehr, wenn man erhöhte Transaktionsgebühren berücksichtigt.

Die Nicht-Einhaltung kann auch dazu führen, dass Ihr Unternehmen den Händlerstatus verliert und keine Kreditkartenzahlungen mehr akzeptieren kann. Mit 45 Milliarden Kreditkartentransaktionen allein im Jahr 2019 kann die Unfähigkeit zur Abwicklung von Kreditkartenzahlungen ein Unternehmen von seinen Kunden isolieren.

PCI-Compliance ist für Organisationen aller Größen erforderlich, die mit Karteninhaberdaten umgehen. Die Anzahl der Kredit- oder Debittransaktionen, die Ihr Unternehmen jährlich durchführt, bestimmt jedoch, welches PCI-Compliance-Level Sie einhalten müssen.

PCI-Konformitätsstufen

Die PCI-Konformität gilt sowohl für Händler als auch für Dienstleister. Kleine Unternehmen werden als Händler betrachtet.

Die PCI-Konformität umfasst vier Kategorien: Stufe 1, Stufe 2, Stufe 3 und Stufe 4. Unternehmen, die in die Stufe 1 fallen, haben strengere Anforderungen als Unternehmen in der Kategorie Stufe 4.

Die meisten kleinen Unternehmen fallen in die Kategorie Stufe 4. Es ist jedoch erwähnenswert, dass jedes Unternehmen, das einen Datenverstoß erleidet, in die Stufe 1 eingeordnet werden kann.

PCI-Anforderungen für kleine Unternehmen

Da die meisten kleinen Unternehmen in die Kategorie Stufe 4 fallen, werden wir diese Stufe genauer betrachten.

Die Einhaltung der Stufe 4 erfordert drei Dinge:

• Ausfüllen eines Selbstbewertungsfragebogens (SAQ)
• Durchführung von vierteljährlichen Netzwerkscans durch einen genehmigten Scan-Anbieter (ASV)
• Ausfüllen einer Konformitätsbescheinigung (AoC)

Im Gegensatz zu Händlern auf höheren Ebenen benötigen Händler der Stufe 4 keinen jährlichen Compliance-Bericht (ROC) durch einen qualifizierten Service-Assessor (QSA), auch bekannt als Stufe 1 vor Ort Bewertung.

Wie wird ein kleines Unternehmen PCI-konform?

Die PCI-Konformität kann ein komplizierter Prozess sein. Aber wenn Sie verstehen, was von Ihnen verlangt wird, können Sie einen Spielplan erstellen und den Prozess reibungsloser gestalten.

1. Bestimmen Sie, zu welcher PCI-Konformitätsstufe Sie gehören

Zunächst müssen Sie herausfinden, welche PCI-Konformitätsstufe Ihr Unternehmen hat. Während die meisten kleinen Unternehmen in die Kategorie Stufe 4 fallen, lohnt es sich, dies zu überprüfen.

Wenn Sie sich nicht sicher sind, in welche Stufe Ihr Unternehmen fällt, können Ihre Point-of-Sale (POS)-Berichte Ihre detaillierten Transaktionsdaten anzeigen.

2. Füllen Sie einen Selbstbewertungsfragebogen (SAQ) aus

Kleine Unternehmen in der Kategorie Stufe 4 müssen einen Selbstbewertungsfragebogen (SAQ) ausfüllen, um festzustellen, ob Ihr Unternehmen den PCI DSS-Konformitätsanforderungen entspricht.

Es gibt acht Arten von SAQs, die auf Ihren Zahlungs- und Transaktionsprozessen basieren:

• SAQ A
• SAQ A-EP
• SAQ B
• SAQ B-IP
• SAQ C
• SAQ C-VT
• SAQ P2PE
• SAQ D für Händler und Dienstleister

Unter welche Kategorie Sie fallen, hängt von der Methode ab, die Sie für Transaktionen verwenden, davon, ob Sie Karteninhaberdaten speichern oder nicht, und von der Art Ihres Geschäfts.

Zum Beispiel, wenn Sie nur Prägemaschinen verwenden, um Kartentransaktionen zu verarbeiten, würden Sie unter SAQ B fallen. Wenn Sie Karten-nicht-präsent-Transaktionen verarbeiten (Bestellungen, die aus der Ferne erfolgen) und zu einer Drittanbieter-Plattform für die Zahlungsabwicklung umleiten, würden Sie in SAQ A-EP fallen.

Sobald Sie festgestellt haben, welcher SAQ auf Ihr Geschäft zutrifft, können Sie mit dem Ausfüllen der Umfrage beginnen. Ein SAQ beinhaltet eine Reihe von Ja/Nein-Fragen und umfasst:

• Eine grundlegende Umfrage über das Unternehmen
• Einen zweiten Abschnitt mit Fragen zu jeder PCI-Anforderung und Unteranforderung

3. Führen Sie vierteljährliche Netzwerkschwachstellen-Scans durch

Der nächste Schritt besteht darin, einen vierteljährlichen Netzwerkschwachstellen-Scan durchzuführen. Diese internen und externen Scans identifizieren Schwachstellen auf Ihrer Website und im Zahlungssystem, um proaktiv Malware und Viren zu erkennen.

Scans müssen von einem vom PCI SSC zertifizierten Approved Scanning Vendor (ASV) durchgeführt werden. Sie können einen ASV im offiziellen Verzeichnis von PCI finden.

4. Vervollständigen Sie eine Compliance-Bescheinigung (AoC)

Eine Compliance-Bescheinigung (AoC) ist eine Erklärung der PCI-Compliance einer Organisation. Dieses Dokument muss von einem Qualified Security Assessor (QSA) ausgefüllt werden und zeigt, dass Ihre Organisation den richtigen SAQ abgeschlossen hat.

5. Reichen Sie die PCI-Compliance-Dokumentation ein

Sammeln Sie alle Ihre Dokumente, einschließlich eines ausgefüllten SAQs, einer AoC und eines Nachweises über bestandene vierteljährliche externe Scans von einem ASV.

Sie übermitteln diese Dokumente entweder elektronisch oder per Post an den PCI-DSS-Rat.

Wie Sie in Ihrem Unternehmen eine Compliance-First-Mentalität aufbauen

Über die Anforderungen hinaus gibt es alltägliche Praktiken, die Ihr Unternehmen einführen kann, wenn Sie den PCI-Compliance-Prozess starten.

Hier sind ein paar Ideen:

• Fragen Sie immer nach einem CVV-Code, wenn Sie Zahlungen telefonisch entgegennehmen.
• Vermeiden Sie das Speichern von Karteninhaberdaten.
• Weisen Sie Kunden darauf hin, dass sie niemals Kreditkarten- oder Bankkontonummern über reguläre E-Mails senden sollten. Dies kann in der Fußzeile von E-Mails oder auf Ihrer Website enthalten sein.
• Schulen Sie Mitarbeiter im Schutz von Karteninhaberdaten.
• Halten Sie Software auf dem neuesten Stand.

Wie Secureframe helfen kann, die PCI-DSS-Compliance zu vereinfachen

PCI-Compliance kann kompliziert sein, aber Sie müssen es nicht allein tun.

Secureframe kann den gesamten Bewertungsprozess vereinfachen, indem es Beweise sammelt und die mehr als 300 Kontrollanforderungen von PCI erfüllt.

Wir können Ihnen auch helfen, durch automatische Beweissammlung aus mehr als 100 Integrationen PCI-konform zu bleiben, damit Sie sich auf die Führung Ihres Unternehmens konzentrieren können. Um mehr zu erfahren, fordern Sie eine Demo mit einem unserer Compliance-Experten an.

Die PCI-Compliance ist nur eine der größten Sorgen, mit denen Online-Unternehmen heutzutage konfrontiert sind.

Von einzigartigen Standards und Vorschriften bis hin zu zunehmenden Cybersicherheitsbedenken stehen E-Commerce-Unternehmen vor einer Vielzahl von Problemen, die sich von denen eines stationären Einzelhandels unterscheiden.

Im Folgenden behandeln wir die wichtigsten Bedenken, mit denen E-Commerce-Unternehmen im Jahr 2022 konfrontiert sind, in der Hoffnung, dass diese Informationen Ihr Unternehmen informieren und schützen können.