Egal, ob Ihr Unternehmen 10 Karten-Transaktionen pro Jahr oder 10 Millionen verarbeitet, Sie sind verpflichtet, den PCI DSS einzuhalten.

Je mehr Karten-Transaktionen Sie verarbeiten, desto höher ist das Risiko potenzieller Datenverstöße und Sicherheitsvorfälle. Um dies zu adressieren, kategorisiert der Payment Card Industry Data Security Standard (PCI DSS) Unternehmen in PCI-Compliance-Level.

Zu verstehen, welches Compliance-Level Ihr Unternehmen hat, ist ein entscheidender erster Schritt auf Ihrem PCI-Compliance-Weg. Ihr Level bestimmt Ihre Berichterstattungsanforderungen und dient als Fahrplan für die Compliance.

Im Folgenden finden Sie eine Übersicht der Kriterien, die Ihnen helfen, Ihr PCI-Compliance-Level zu bestimmen.

PCI-Händler vs. Dienstleister

Bevor Sie Ihr PCI-DSS-Level bestimmen, müssen Sie feststellen, in welche Kategorie Ihr Unternehmen fällt: Händler oder Dienstleister.

Händler sind Unternehmen, die Kartenzahlungen von einem der fünf Mitglieder des PCI Security Standards Council (American Express, Discover, JCB, MasterCard oder Visa) akzeptieren.

Dienstleister sind keine Zahlungsmarken, können jedoch direkt an der Verarbeitung, Speicherung und Übertragung von Karteninhaberdaten im Namen eines Händlers beteiligt sein und beeinflussen im Allgemeinen die Sicherheit der Karteninhaberdaten ihrer Kunden.

Dienstleister umfassen auch Unternehmen, die Dienstleistungen erbringen, die die Sicherheit von Karteninhaberdaten beeinflussen könnten. Beispiele für Dienstleister sind Managed Service Providers, die verwaltete Firewalls anbieten, und Hosting-Anbieter.

Die Kreditkartenmarken teilen Händler und Dienstleister anhand der Anzahl der in einem Jahr abgewickelten Transaktionen in verschiedene Berichtsebenen ein. Schauen wir uns die Ebenen für jede Gruppe unten an.

PCI-Händler-Ebenen

Für Händler gibt es in der Regel vier PCI-DSS-Compliance-Ebenen, beginnend mit Ebene 4 und aufwärts bis zu Ebene 1.

  • PCI Ebene 1: Unternehmen, die mehr als 6 Millionen Karten-Transaktionen pro Jahr verarbeiten
  • PCI Ebene 2: Unternehmen, die 1 Million bis 6 Millionen Karten-Transaktionen pro Jahr verarbeiten
  • PCI Ebene 3: Unternehmen, die 20.000 bis 1 Million Karten-Transaktionen pro Jahr verarbeiten
  • PCI Ebene 4: Unternehmen, die weniger als 20.000 Karten-Transaktionen pro Jahr verarbeiten

Jede PCI-Compliance-Ebene könnte einen unterschiedlichen Satz von Berichtspflichten haben, wobei Ebene 4 eine Selbstbewertung erfordert und Ebene 1 ein Audit durch Dritte erforderlich macht.

PCI Ebene 1

Händler der Ebene 1 verarbeiten jährlich über 6 Millionen Karten-Transaktionen. Diese Stufe der PCI-Compliance unterliegt den strengsten Berichterstattungsanforderungen der vier Ebenen.

Anstatt einen Selbstbewertungsfragebogen (SAQ) auszufüllen, müssen Händler der Ebene 1 einen jährlichen Compliance-Bericht (RoC) erstellen.

Um ein RoC abzuschließen, arbeitet ein Unternehmen mit einem Qualified Security Assessor (QSA) zusammen. Der QSA wird eine strenge Prüfung durchführen, die untersucht, ob ein Unternehmen die PCI DSS-Anforderungen effektiv erfüllt hat, und seine Ergebnisse in einem RoC zusammenstellen. Diese Prüfungen müssen jährlich stattfinden.

Zusätzlich zum RoC müssen Händler der Stufe 1 zwei Arten von Tests unterziehen: vierteljährliche Netzwerkscans und jährliche Penetrationstests.

Audits der Stufe 1 umfassen auch ein Attestation of Compliance (AoC)-Formular. Dieses Dokument gibt an, dass das Unternehmen die Anforderungen des PCI DSS-Standards erfüllt hat, und wird vom QSA unterzeichnet.

Es ist auch sehr wichtig zu beachten, dass jeder Händler, der einen Datenverstoß erlitten hat, der zu einer Kompromittierung der Karteninhaberdaten geführt hat, von seinen erwerbenden Banken oder anfragenden Parteien in Stufe 1 eingestuft werden kann.

PCI Stufe 2

Händler der Stufe 2 verarbeiten jährlich 1 bis 6 Millionen Kartentransaktionen. Diese Händler müssen sich keiner jährlich vom QSA geführten Compliance-Berichtprüfung unterziehen. Stattdessen füllen sie einen SAQ aus. Es ist möglich, dass Sie ein Drittunternehmen eines QSA benötigen, um diesen SAQ auf PCI-Stufe 2 zu bestätigen.

Ein SAQ enthält eine Reihe von selbstgeführten Fragen, die Ihre PCI-Konformität bewerten. Es gibt acht Arten von SAQs, und welcher Sie ausfüllen, hängt davon ab, ob Sie ein Dienstleister oder Händler sind und welche Art von Händler Sie sind.

Ein Beispiel: Ein E-Commerce-Händler, der kartenlose Transaktionen verarbeitet und eine dritte Partei zur Weiterleitung der Erfassung von Karteninhaberdaten verwendet, würde einen SAQ A ausfüllen. Ein E-Commerce-Händler, der Karteninhaberdaten über seine verwaltete Anwendung sammelt und diese Daten an eine dritte Partei übermittelt, würde einen SAQ A-EP ausfüllen.

Die Anzahl der Fragen variiert je nach SAQ-Typ. SAQ A ist der kürzeste mit 24 Fragen, während SAQ D 328 Fragen enthält.

PCI Stufe 3

Händler der Stufe 3 verarbeiten jährlich 20.000 bis 1 Million Transaktionen. Händler dieser Stufe müssen einen SAQ für ihr Geschäft einschließlich der erforderlichen ASV-Scans und Penetrationstests abschließen.

Sie müssen auch vierteljährliche Scans durch einen ASV durchführen und ein AoC ausfüllen.

PCI Stufe 4

Händler der Stufe 4 verarbeiten weniger als 20.000 Transaktionen pro Jahr und haben die geringsten Berichtsanforderungen aller vier Konformitätsstufen. Kleine Unternehmen fallen oft in diese Konformitätskategorie und benötigen nur einen SAQ einschließlich der erforderlichen ASV-Scans und Penetrationstests.

Dienstleisterstufen

Wie Händler werden auch Dienstleister in Konformitätsstufen unterteilt, basierend auf der Menge der Karteninhaberdaten, die sie beeinflussen, oder den Anforderungen ihrer Kunden.

Stufe 1

Dienstleister der Stufe 1 speichern, verarbeiten, übertragen oder beeinflussen jährlich mehr als 300.000 Kartentransaktionen.

Ähnlich wie bei einem Händler der Stufe 1 müssen auch Dienstleister der Stufe 1 einer jährlich von einem QSA geleiteten Prüfung unterzogen werden. Nach Abschluss der Prüfung stellt der QSA ein RoC aus.

Dienstleister der Stufe 1 müssen auch jährliche Penetrationstests, vierteljährliche Netzwerkscans durch einen ASV und ein AoC-Formular ausfüllen.

Stufe 2

Dienstleister der Stufe 2 speichern, verarbeiten, übertragen oder beeinflussen jährlich weniger als 300.000 Kartentransaktionen.

Diese Ebene muss ein SAQ D für Dienstleister und ein AoC-Formular abschließen, um PCI-Compliance nachzuweisen. Es ist möglich, dass Kunden auf dieser Ebene verlangen, dass das SAQ von einem QSA beglaubigt wird. Stufe-2-Dienstleister müssen auch jährliche Penetrationstests durchführen und vierteljährliche Netzwerkscans durch einen ASV durchführen lassen.

Wie Sie Ihr PCI DSS-Compliance-Niveau bestimmen

Sie können Ihr PCI DSS-Compliance-Niveau bestimmen, indem Sie Ihr Kartenumsatzvolumen für den letzten 52-Wochen-Zeitraum überprüfen und mit Ihrer Acquiring-Bank oder Ihren Kunden über deren PCI-Anforderungen für Ihr Unternehmen kommunizieren.

Jede Kartenmarke hat ihre eigenen standardmäßigen Kriterien für die Compliance-Stufen, aber alle sind im Allgemeinen den oben genannten Schwellenwerten ähnlich.

Wenn Sie Schwierigkeiten haben, auf Ihre Transaktionsvolumeninformationen zuzugreifen, oder eine Bestätigung über Ihr Compliance-Niveau wünschen, können Sie die von Ihnen akzeptierten Kartenmarken, Ihre Acquiring-Bank, Kunden oder welche Organisation auch immer die PCI DSS-Compliance von Ihrem Unternehmen verlangt, kontaktieren.

FAQs

Was sind die 4 Stufen von PCI?

Es gibt vier Stufen der PCI DSS-Compliance für Händler. Diese sind:

  • Stufe 1: Händler, die mehr als 6 Millionen Kartentransaktionen pro Jahr bearbeiten
  • Stufe 2: Händler, die 1 Million bis 6 Millionen Kartentransaktionen pro Jahr bearbeiten
  • Stufe 3: Händler, die 20.000 bis 1 Million Kartentransaktionen pro Jahr bearbeiten
  • Stufe 4: Händler, die weniger als 20.000 Kartentransaktionen pro Jahr bearbeiten

Was sind die 6 Compliance-Gruppen für PCI DSS?

Insgesamt gibt es 6 Stufen für PCI DSS-Compliance:

  • Händler Stufe 1: Händler, die mehr als 6 Millionen Kartentransaktionen pro Jahr bearbeiten
  • Händler Stufe 2: Händler, die 1 Million bis 6 Millionen Kartentransaktionen pro Jahr bearbeiten
  • Händler Stufe 3: Händler, die 20.000 bis 1 Million Kartentransaktionen pro Jahr bearbeiten
  • Händler Stufe 4: Händler, die weniger als 20.000 Kartentransaktionen pro Jahr bearbeiten
  • Dienstleister Stufe 1: Dienstleister, die mehr als 300.000 Kartentransaktionen pro Jahr speichern, verarbeiten, übertragen oder beeinflussen
  • Dienstleister Stufe 1: Dienstleister, die weniger als 300.000 Kartentransaktionen pro Jahr speichern, verarbeiten, übertragen oder beeinflussen

Was wird benötigt, um PCI-Konformität der Stufe 3 zu erreichen?

Stufe 3-Händler sind verpflichtet, ein SAQ für ihr Unternehmen auszufüllen, einschließlich der geltenden ASV-Scans und Penetrationstestanforderungen. Sie sind auch verpflichtet, vierteljährliche Scans durch einen ASV durchzuführen und ein AoC zu vervollständigen. 

Was bedeutet PCI-Compliance der Stufe 1?

Die PCI-Compliance der Stufe 1 umfasst die strengsten Berichtsanforderungen der vier Stufen für Händler. Händler der Stufe 1 müssen einen jährlichen Compliance-Bericht (RoC) erstellen, vierteljährliche Netzwerkscans und jährliche Penetrationstests durchführen und ein AoC ausfüllen.