Die PCI-Regeln wurden vom PCI Security Standards Council entwickelt, um Betrügereien bei Transaktionen im E-Commerce über Kreditkarten einzudämmen. Es wurde ein Mindeststandard für die Datensicherheit der Verbraucher:innen geschaffen, um das Vertrauen in Online-Zahlungssysteme zu verbessern und zu stärken. Unternehmen, die Daten von Kreditkarteninhaber:innen verarbeiten, müssen die Anforderungen der PCI-Compliance erfüllen.
Befolgen Unternehmen diesen Standard nicht, sind oft hohe Geldstrafen die Folge. In diesem Beitrag zeigen wir dir, welche Anforderungen du erfüllen musst, um Sanktionen zu vermeiden.
Warum ist PCI-Compliance wichtig?
Die PCI-Anforderungen zu erfüllen heißt geeignete Maßnahmen zu ergreifen, um betreffende Daten vor Cyber-Diebstahl und Betrug zu schützen. Wenn du diese nicht erfüllst, hat das Auswirkungen auf dein Unternehmen und deine Kund:innen. Folgen können Cyber-Angriffe, potenzieller Umsatz-, Kunden- und Vertrauensverlust sein.
Was ist PCI-Compliance?
Der PCI DSS, oder auch Payment Card Industry Data Security Standard, wurde 2006 vom Payment Card Industry (PCI) Security Standards Council (einem Zusammenschluss der großen Kreditkartenanbieter:innen) als Reaktion auf steigende Zahlen von Online-Transaktionen erarbeitet. Für Unternehmen, die Kreditkartenzahlungen abwickeln, besteht seitdem die Verpflichtung zum Nachweis der PCI-Konformität im Rahmen eines Zertifizierungsverfahrens.
Ab den frühen 2000ern ist die Zahl der Unternehmen, die Transaktionen per Kreditkarte über das Internet akzeptieren, stark angestiegen. Dadurch stieg auch bei den Verbraucher:innen die Akzeptanz für Online-Kreditkartenzahlungen.
Jedoch stellten die fünf größten Kreditkartenanbieter:innen (Visa, MasterCard, American Express, Discover und JCB) schnell fest, dass auch Datendiebstähle immer häufiger auftraten. Auch um auf dieses Problem reagieren zu können, wurde der PCI DSS entwickelt. Dieser definiert Standards für eine sichere Zahlungsabwicklung. So kann gewährleistet werden, dass Verkäufer:innen bei der Erfassung, Speicherung, Verarbeitung und Übertragung von Daten der Karteninhaber:innen bei Kreditkartentransaktionen geeignete Sicherheitsvorkehrungen anwenden. Die Ziele sind dabei, Sicherheitslücken zu schließen und den Missbrauch von Verbraucher- und Bankdaten zu verhindern oder zumindest einzudämmen. Diese allgemeinen Standards sowie die Gründung des PCI Security Standards Council bedeuteten einen entscheidenden Schritt zur Regulierung von Online-Zahlungsabwicklungen und zum Schutz von Verbraucher:innen und Unternehmen vor Cyber-Angriffen.
Lesetipp: Welche Aufgaben Shop-Manager:innen haben, zeigen wir dir in diesem Beitrag.
Vorteile der PCI-Konformität
Die Einhaltung der PCI-Richtlinien bedeutet zwar Ausgaben für Software und Sicherheitsverbesserungen, aber sie bewahrt dich davor, Strafen zu zahlen oder Kund:innen aufgrund von mangelndem Vertrauen zu verlieren.
Hier sind die wichtigsten Gründe für die Einhaltung der PCI-Richtlinien:
Aufrechterhaltung sicherer Systeme
Die meisten Händler:innen sind keine Cybersecurity-Expert:innen und wissen nicht, wo sie anfangen sollen, wenn es darum geht, sichere Systeme zu erstellen und zu pflegen. Die Einhaltung der PCI-Anforderungen kann Unternehmen dabei helfen, solide Sicherheitsstandards zu schaffen und die Gefahr von Datenschutzverletzungen zu verringern.
Sei auf neue Regeln vorbereitet
Wenn du bereits PCI-konform bist, wird es einfacher sein, künftige Datensicherheitsanforderungen zu erfüllen. Wenn das nächste Mal zusätzliche Vorschriften ins Spiel kommen, musst du nur noch Anpassungen an deinem aktuellen Sicherheitsrahmen vornehmen und nicht mehr bei Null anfangen.
Reduziere Datenschutzverletzungen und Bußgelder
Die Einhaltung aller PCI DSS-Anforderungen hilft dir, Datenschutzverletzungen und Sicherheitslücken von vornherein zu vermeiden. Wenn du die Vorschriften einhältst und dein Unternehmen dennoch von einem Datenschutzverstoß betroffen ist, fallen die damit verbundenen Bußgelder und Strafen in der Regel geringer aus.
Anforderungen der PCI-Compliance
Jedes Jahr müssen Unternehmen sicherstellen, dass sie die PCI DSS Konformität einhalten, indem sie eines der offiziellen PCI SSC-Validierungsdokumente ausfüllen. Werden die Anforderungen nicht erfüllt, muss mit Strafen und Kosten gerechnet werden.
Die PCI DSS Compliance verringert das Risiko einer Datenverletzung durch Cyber-Angriffe – jedoch wird die Chance eines Verstoßes nicht vollständig ausgeschlossen. Kartenanbieter:innen können die PCI-Bußgelder aber deutlich senken, wenn betreffende Händler:innen alle notwendigen Schritte unternehmen, um die Anforderungen zu erfüllen.
Shopify vs. Shopify Plus: In unserem Vergleich zeigen wir dir, welches System für dich geeignet ist!
Folgende technischen und betriebliche Standards müssen für die PCI-Compliance erfüllt sein:
1. Pflege und Aufbau eines sicheren Netzwerks
Alle Unternehmen sind zur Installation und Pflege einer Firewall-Konfiguration zum Schutz der Kreditkartendaten verpflichtet.
2. Schutz der Daten von Karteninhaber:innen
Unternehmen, die die Daten der Karteninhaber:innen nach der Transaktion zur Wiederverwendung für zukünftige Zahlungen speichern, sind von dieser Anforderung betroffen – gespeicherte Daten müssen unbedingt geschützt werden!
Bei der Übertragung der Karteninhaberdaten über offene, öffentliche Netzwerke müssen die Daten verschlüsselt sein.
Lesetipp: Was ist eigentlich der Point of Sale?
3. Nutzung und regelmäßige Aktualisierung von Virenschutzprogrammen
Zum Schutz der Systeme müssen Virenschutzprogramme eingesetzt und regelmäßig aktualisiert werden. Werden Daten auf ausgelagerten Servern gehostet, gilt diese Anforderung für den jeweiligen Serveranbieter bzw. die Serveranbieterin.
4. Installiere einen Passwortschutz
Händler:innen müssen sensible Kartendaten mit einem starken Passwortschutz schützen. Vermeide die Verwendung von Systempasswörtern und anderen Sicherheitsmaßnahmen, die vom Hersteller bzw. von der Herstellerin vorgegeben werden. Richte eigene Passwörter ein, die für Angreifer:innen schwer zu erraten sind.
5. Strenge Maßnahmen zur Zugriffssteuerung
Ein weiterer wesentlicher Schritt zur Reduzierung des Risikos von Sicherheitsverstößen ist die Beschränkung des Zugriffs auf vertrauliche Daten auf eine möglichst kleine Gruppe befugter Mitarbeiter:innen.
6. Weise jeder Person eine eindeutige ID zu
Um Aktivitäten nachverfolgen zu können, solltest du jeder Person, die Zugriff auf die Systeme hat, eine eindeutige ID zuweisen. So können nur autorisierte Personen auf die Daten zugreifen und es kann genau verfolgt werden, wer wann Zugriff auf bestimmte Daten hatte.
💡 TIPP: Mit Shopify POS kannst du verschiedene Rollen und Berechtigungen zuweisen, um festzulegen, was das Ladenpersonal in deinem POS-System ohne die Zustimmung des Managers bzw. der Managerin tun kann, z. B. den Preis eines Produkts ändern oder einen benutzerdefinierten Rabatt auf einen Verkauf anwenden.
7. Beschränke den physischen Zugang zu den Daten
Beschränke den physischen Zugang zu den Daten auf die Teammitglieder, die ihn für ihre Arbeit benötigen. Vermeide die Speicherung sensibler Karteninhaberdaten auf Computern oder in Papierform.
8. Erstellen und Führen von Zugriffsprotokollen
Verfolge und überwache alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten mit aktuellen Zugriffsprotokollen. Auf diese Weise lässt sich im Falle einer Datenpanne die Quelle leichter zurückverfolgen.
9. Regelmäßige Aktualisierung der Software und Systeme
In regelmäßigen Abständen sollten alle Systeme und Software mit den aktuellen Sicherheitspatches aktualisiert werden. Zudem sollten neue Anwendungen vorab immer getestet werden, um Sicherheitslücken oder Schwachstellen schnell erkennen und beheben zu können.
10. Verschlüsselte Übertragung der Daten über öffentliche, offene Netzwerke
Um die Daten von Karteninhaber:innen auch bei öffentlichen Übermittlungen schützen zu können, solltest du besonders auf die Nutzung von sicheren Protokollen achten. So ist ein SSL-Zertifikat oder auch TLS-Zertifikat beispielsweise Pflicht für deine Website.
11. Teste regelmäßig auf Sicherheitslücken
Um die Sicherheit deines Systems zuverlässig gewährleisten zu können, musst du ein geeignetes Tool eines Approved Scanning Vendors (APV) verwenden. So kannst du deine Netzwerke und Anwendungen scannen und Sicherheitsprobleme und Schwachstellen schnell erkennen.
12. Einführung einer Richtlinie zur Gewährleistung der Datensicherheit
Als letzter PCI Standard sollten Regeln für den Umgang mit der Nutzung zulässiger Technologie, Überprüfungen und jährliche Verfahren zur Risikoanalyse, betriebliche Sicherheitsverfahren und andere allgemeine Verwaltungsaufgaben festgelegt werden.
Welche Unternehmen betrifft PCI-Compliance?
Um die PCI-Konformität korrekt einreichen zu können, solltest du dir vorab bewusst sein, welche Anforderungen für dein Unternehmen gelten. Hierzu gibt es vier verschiedene PCI-Konformitäts-Level, wobei die Einstufung in das jeweilige Level meist von der Anzahl der Kreditkartentransaktionen innerhalb von 12 Monaten abhängt.
Level 1
Dieses Level betrifft dich, wenn dein Unternehmen jährlich mehr als 6 Millionen Transaktionen über Visa oder Mastercard bzw. mehr als 2,5 Millionen Transaktionen über American Express abwickelt. Außerdem sind Unternehmen in diese Kategorie einzuordnen, die eine Datenschutzverletzung erlebt haben oder die von den Kartengesellschaften (Mastercard, Visa, usw.) in dieses Level eingeordnet werden.
Anforderungen:
- Jährlicher Konformitätsbericht (ROC) durch qualifizierte Person oder eine interne Prüfung, die von der Unternehmensleitung unterzeichnet wurde
- Vierteljährlicher Netzwerk-Scan
- Konformitätsbescheinigung (AOC)
Level 2
In diese Kategorie werden Unternehmen eingestuft, die jährlich zwischen 1 und 6 Millionen Transaktionen abwickeln.
Anforderungen:
- Jährlicher PCI DSS Selbstbewertungsfragebogen (SAQ)
- Vierteljährlicher Netzwerk-Scan durch einen anerkannten Scan-Anbieter (ASV)
- Konformitätsbescheinigung (AOC)
Level 3
Das dritte Level umfasst hingegen Organisationen, die rund 20.000 bis 1 Million Online-Transaktionen abwickeln oder Organisationen, die in einem Jahr weniger als 1 Million Transaktionen abwickeln.
Die Anforderungen für diese Kategorie entsprechen den von Level 2.
Level 4
Die letzte Kategorie beinhaltet dann lediglich Unternehmen, die jährlich weniger als 20.000 Online-Transaktionen bzw. bis zu 1 Million Transaktionen abwickeln.
Die Anforderungen für diese Kategorie entsprechen den von Level 2.
Strafen bei Verstößen
Alle im vorangegangenen Abschnitt aufgeführten Anforderungen gelten für sämtliche Hardware und Web-Anwendungen, dazu zählen:
- Verkaufsterminals
- Kartenlesegeräte
- Netzwerke und WLAN-Router in Geschäften
- Anwendungen und Warenkörbe zur Abwicklung von Online-Zahlungen
- Speicherung und Übertragung von Zahlungskartendaten
- Gespeicherte Zahlungskartendaten in Papierform
Die Ausführung und Aufrechterhaltung der Anforderungen der PCI-Compliance sind für viele Händler:innen kein leichtes Unterfangen. Oft müssen Sicherheitskontrollen veranlasst, externe Berater:innen bei der Installation kostspieliger Soft- und Hardware hinzugezogen und verbindliche Verträge unterzeichnet werden, unter denen sie den Bedingungen der Bank für die jährliche Überprüfung der PCI-Konformität zustimmen müssen. Ebenfalls erforderlich sind in der Regel jährliche Selbstbewertungen.
Aber wie sehen die Strafen bei einer Nichteinhaltung aus? Laut dem PCI-Compliance Blog werden Geldbußen nicht gemeldet oder veröffentlicht, sondern in der Regel an die Händler:innen durchgereicht. Die Banken geben diese Geldbußen in Form erhöhter Transaktionsgebühren oder durch die Kündigung von Geschäftsbeziehungen an die Händler:innen weiter.
Die Bußgelder können zwischen 5.000 und 100.000 USD pro Monat variieren, bis die Händler:innen PCI-Konformität erreichen. Für große Finanzinstitute sind diese Beträge realistisch, aber kleine Unternehmen können diese Summen schnell in den Bankrott treiben.
Die Compliance von Shopify deckt alle sechs PCI-Standardkategorien ab und gilt für jeden Shop, der unsere Plattform nutzt. Shopify ist als PCI DSS-konform der Stufe 1 zertifiziert. Diese Konformität gilt standardmäßig für alle von Shopify betriebenen Shops.
Informationen zu den PCI-Compliance-Berichten von Shopify findest du im Help Center.
Wie wird die PCI-Compliance bestätigt?
Alle Kreditkartenunternehmen haben eigene Compliance-Validierungsstufen, die es einhalten muss. Du hast als Händler:in entweder die Möglichkeit, deine eigenen PCI-Compliance Self-Assessment Questionaire (SAQ) durchzuführen oder einen Vertrag mit einem zertifizierten PCI Quality Assessor (QSA) abzuschließen.
PCI QSAs sind für die Durchführung von PCI-Sicherheitsbewertungen zertifiziert und geschult. Du kannst aber auch ein SAQ-Formular ausfüllen, das eine Reihe von Ja- oder Nein-Fragen enthält, mit denen dein Konformitätsgrad mit dem PCI DSS bestimmt wird. Jedes Unternehmen muss diesen SAQ ausfüllen und den Quartalsbericht an die dafür vorgesehene Organisation übermitteln.
Lesetipp: So findest du die richtige POS-App.
Fazit
Durch die Technologien, die es Kund:innen ermöglichen, schnell und bequem zu zahlen, war es für Hacker:innen leicht, sich Zugriff auf sensible Daten zu verschaffen. Daher müssen kleine Unternehmen, die Kreditkartenzahlungen nur in geringem Umfang abwickeln, genauso strenge Anforderungen zur Sicherung der Kartendaten erfüllen, wie große Einzelhändler:innen, die unzählige Transaktionen verarbeiten.
Werden diese Standards des PCI DSS eingehalten, bieten sie allen Unternehmen einen starken Schutz vor Cyberkriminalität und erzeugen eine höhere Kundenzufriedenheit und -sicherheit.
Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Steuer- oder Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechts- oder Steuerberatung für Informationen, die spezifisch für dein Land und deine Umstände gelten. Shopify haftet in keiner Weise für deine Verwendung oder dein Vertrauen in diese Informationen.