Unternehmen, die PCI nicht einhalten, sind Sanktionen und Verstößen ausgesetzt sowie weniger greifbaren Folgen wie dem Verlust des Kundenvertrauens.

Um diese Folgen zu vermeiden, ist es wichtig zu verstehen, ob Ihr Unternehmen unter PCI DSS fällt.

Für wen gilt PCI DSS?

PCI DSS gilt für jedes Unternehmen, das Karteninhaberdaten akzeptiert, verarbeitet, speichert oder überträgt. Der Standard gilt auch für jede Organisation, die die Sicherheit der Karteninhaberdaten beeinträchtigen kann.

Der PCI DSS-Standard teilt Unternehmen in zwei Hauptkategorien ein: Händler und Dienstleister. Unten besprechen wir die Unterschiede zwischen den beiden.

PCI DSS für Händler.

Ein Händler ist jedes Unternehmen, das Zahlungen mit einer Karte akzeptiert, die das Logo einer der fünf großen Kreditkartengesellschaften trägt: American Express, Visa, Mastercard, Discover und JCB.

Die Schritte zur PCI DSS-Konformität variieren je nach PCI-Konformitätsstufe, zu der Ihr Unternehmen gehört, oder je nach den spezifischen Anforderungen Ihrer Acquiring-Bank. Diese Stufen werden durch die Anzahl der Karten-Transaktionen bestimmt, die Ihr Unternehmen in einem bestimmten Jahr abwickelt.

Hier ist ein Überblick über die Konformitätsstufen für Händler:

  • Stufe 1 : Händler, die mehr als 6 Millionen Kartentransaktionen pro Jahr abwickeln
  • Stufe 2 : Händler, die zwischen 1 Million und 6 Millionen Transaktionen pro Jahr abwickeln
  • Stufe 3 : Händler, die zwischen 20.000 und 1 Million Transaktionen pro Jahr abwickeln
  • Stufe 4 : Händler, die weniger als 20.000 Transaktionen pro Jahr abwickeln

PCI DSS für Dienstleister

Ein Dienstleister ist direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten im Auftrag eines Händlers beteiligt.

Ein Unternehmen, das Dienstleistungen anbietet, die die Sicherheit der Karteninhaberdaten kontrollieren oder beeinträchtigen können, wird ebenfalls als Dienstleister betrachtet.

Häufige Beispiele für Dienstleister:

  • Zahlungsprozessoren
  • Anbieter verwalteter Verkaufsstellen (POS)
  • Transaktionsprozessoren
  • Zahlungsgateways
  • Webhosting-Unternehmen
  • Drittanbieter-Marketingfirmen
  • POS-Wartungsanbieter
  • Anbieter von verwalteten Netzwerksicherheitslösungen

Es gibt zwei Konformitätsstufen für Dienstleister, die durch die Anzahl der Transaktionen bestimmt werden, die sie speichern, verarbeiten oder übertragen.

  • Stufe 1 : Dienstleister, die mehr als 300.000 Kreditkartentransaktionen pro Jahr speichern, verarbeiten oder übertragen.
  • Niveau 2 : Prestataires de services stockant, traitant ou transmettant moins de 300 000 transactions par carte de crédit par an

Votre niveau de prestataire de services aide à dicter les exigences de reporting que vous devrez respecter pour prouver votre conformité. Par exemple, un prestataire de services de Niveau 1 subira des audits annuels effectués par un QSA pour prouver sa conformité, tandis qu'un prestataire de services de Niveau 2 remplira un SAQ D annuel.