Jetzt PCI-Konformität nachweisen!

Geh auf Nummer sicher –
für Dich und Deine Kunden.

Stelle sicher, dass sensible Kundendaten bei der Zahlungsabwicklung ausreichend geschützt sind. Der Missbrauch von Daten kann zu Bußgeldern, Gerichtsverfahren und Imageverlust führen. Unzer unterstützt Dich dabei, das PCI-Regelwerk einzuhalten. Führe jetzt Deinen PCI-Compliance-Check durch!

So profitierst Du vom Sicherheitsstandard

Hohe Datensicherheit

Die Kreditkartendaten Deiner Kunden sind optimal vor Diebstahl geschützt. Identitätsbetrug wird vermieden.

Schutz von finanziellen Verlusten

Du musst keine Bußgelder, Prozesskosten, Schadenersatzforderungen aufgrund von Datenschutzverletzungen fürchten.

Mehr Kundenvertrauen

Mit dem PCI-DSS-Siegel zeigst Du Deinen Kunden wie wichtig Dir die Sicherheit ihrer Daten ist und schaffst Vertrauen.

Unzer PCI-Compliance-Check

Arbeitet Dein Unternehmen PCI-konform? Erbringe den erforderlichen Nachweis –
in 3 Schritten.

Als Händler bist Du dazu verpflichtet, die Einhaltung der PCI-DSS-Sicherheitsstandards regelmäßig nachzuweisen. Auch wir als Zahlungsdienstleister müssen sichergehen, dass Händler, für die wir Zahlungen abwickeln, PCI-konform sind. Mit unserem Compliance-Check unterstützen wir Dich dabei, deinen PCI-Konformitätsstatus zu ermitteln. So funktioniert’s:

Schritte:

1. Registriere Dich auf der Unzer PCI-Plattform

Wir senden Dir einen individuellen Link zur Registrierung auf https://pci.unzer.com. Fülle das Registrierungsformular mit Deinen Unternehmensdaten aus. Wir benötigen diese Angaben, um Dir den richtigen Selbstbewertungsfragebogen zur Verfügung zu stellen.

2. Fülle den Selbstbewertungsfragebogen aus.

Mithilfe des Fragebogens lässt sich ermitteln, welche Anforderungen Du noch erfüllen musst, um PCI-konform zu werden. Falls Du beim Ausfüllen Fragen hast, helfen Dir unsere Experten im PCI DSS Competence Center gerne weiter!

3. Wir teilen Dir das Ergebnis mit.

Anhand deiner Angaben im Selbstbewertungsfragebogen stellen wir Deinen Konformitätsstatus fest. Wir informieren Dich, welche Anforderungen Du gegebenenfalls noch erfüllen musst, um PCI-konform zu werden.

Was bedeutet PCI-DSS-konform?

PCI DSS (Payment Card Industry Data Security Standard) ist der Sicherheitsstandard der Kartenindustrie. Die strengen Vorgaben sollen den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherstellen. Alle großen Kreditkartenunternehmen wie Visa, Mastercard und American Express haben sich auf diesen Standard verständigt. Er ist für alle Unternehmen rechtlich bindend, die kartenbasierte Zahlungstransaktionen durchführen, Karteninhaberdaten speichern, übertragen oder verarbeiten. Um als PCI-DSS-konform zu gelten, musst Du nachweisen, dass Du die geltenden Sicherheitsanforderungen erfüllst.

Sicherheitsstandard

Die 12 wesentlichen PCI-DSS-Sicherheitsanforderungen im Überblick

  • Installiere eine aktuelle Firewall zum Schutz der Karteninhaberdaten.
  • Ändere standardisierte Systemkennwörter und Einstellungen für sicherheitsrelevante Parameter.
  • Stelle den Schutz von gespeicherten Karteninhaberdaten sicher.
  • Übertrage Karteninhaberdaten über öffentliche Netzwerke immer verschlüsselt.
  • Verwende ein Virenschutzprogramm und aktualisiere es regelmäßig.
  • Warte Deine Systeme und Applikationen regelmäßig unter Einhaltung aller Sicherheitsaspekte.
  • Stelle sicher, dass nur die Mitarbeiter auf Karteninhaberdaten zugreifen können, für die es zwingend erforderlich ist.
  • Erlaube den Zugriff auf Systemkomponenten nur mittels eindeutiger Authentifizierung.
  • Schränke den Zugang zu Karteninhaberdaten in physischer Form ein.
  • Lass alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten aufzeichnen und überwachen.
  • Teste Deine Sicherheitssysteme und -prozesse regelmäßig.
  • Erstelle eine Unternehmensrichtlinie zum Thema Informationssicherheit, die alle Mitarbeiter einhalten.
Kriterien für PCI-Compliance

Spezifische Anforderungen je nach Händlerkategorie

Welche spezifischen Anforderungen für Dein Unternehmen gelten, hängt von mehreren Faktoren ab: unter anderem von der Anzahl der jährlichen Transaktionen, Deinen Vertriebskanälen, der Unternehmensgröße und dem Risikopotential.

FAQ

Häufige gestellte Fragen zu PCI-DSS-Compliance

Für wen gilt der Sicherheitsstandard?

Jeder, der Kartendaten speichert, verarbeitet und/oder übermittelt, muss sich an die Sicherheitsvorgaben des PCI DSS halten. Hierbei ist die Größe der Organisation, ob Händler oder Dienstleister und der Umfang der Kartentransaktionen unerheblich. Die PCI-DSS-Richtlinien betreffen jedoch nicht nur Daten in digitalen Formaten. Unternehmen sind auch verpflichtet, in Schriftform vorliegende Unterlagen, aus denen Daten von Zahlungskarten und Karteninhabern ersichtlich sind, zu schützen. Organisationen, die professionelle externe Datenvernichter beauftragen, müssen dafür sorgen, dass diese Subunternehmer ebenfalls PCI-DSS-konform arbeiten.

Was ist, wenn ich den Sicherheitsstandard nicht einhalte?

Wird der PCI DSS nicht eingehalten, drohen im Schadensfall schwerwiegende Konsequenzen. Unternehmen müssen mit Geldstrafen in sechsstelliger Höhe und ggf. sehr hohen Prozesskosten rechnen. Treten bei Händlern und Dienstleistern der Kategorie 2 bis 4 Sicherheitsverletzungen auf, werden sie in Kategorie 1 hochgestuft (siehe Tabelle „Händlerkategorie“). Eine Einordnung in diese Kategorie ist mit höheren Kosten verbunden, da umfassendere Compliance-Prüfungen erforderlich sind. Zusätzlich können bekannt gewordene PCI-Verstöße das Ansehen eines Unternehmens nachhaltig schädigen und schwindendes Kundenvertrauen zur Folge haben – mit entsprechenden Geschäftsverlusten.

Wozu dient der Selbstbewertungsfragebogen (SAQ = Self-Assessment Questionnaire)?

Mit dem Online-Fragebogen wird die Einhaltung der Anforderungen des PCI Data Security Standards mittels Selbstauskunft geprüft. Die Bewertung der technischen und organisatorischen Maßnahmen zur Erfüllung des Sicherheitsstandards ist jährlich vorzunehmen. Abgefragt werden der aktuelle und zurückliegende Sicherheitsstatus des Firmennetzwerks.

Welche verschiedenen Fragenbögen (SAQ-Versionen) gibt es?

Je nach Integrationstyp, kommt eine der folgenden SAQ-Versionen infrage. Unzer stellt im Rahmen des Compliance-Checks automatisch jedem Händler den richtigen Fragenbogen zur Verfügung.

SAQ Version:

SAQ A

Unzer Integrationstyp:

Payment Pages, Plug-ins, UI Components

Definition:

Anwendbar für kartenlose Händler, wenn alle Funktionen für Karteninhaberdaten an einen PCI-konformen Zahlungsabwickler ausgelagert sind. Förderfähige E-Commerce-Implementierungen: wenn die Website des Händlers vollständig von einem PCI-konformen Drittanbieter-Zahlungsabwickler gehostet und verwaltet wird oder einen IFrame zu einem PCI-konformen Drittanbieter-Zahlungsabwickler bereitstellt oder einen URL-Link enthält, der Verbraucher von der Website des Händlers zu einem PCI-konformen Zahlungsabwickler umleitet.

SAQ Version:

SAQ A-EP

Definition:

E-Commerce-Händler, die die gesamte Zahlungsabwicklung an PCI DSS-validierte Drittanbieter auslagern und über eine oder mehrere Webseiten verfügen, die zwar nicht direkt Daten von Karteninhabern empfangen, sich aber auf die Sicherheit der Zahlungstransaktion auswirken können. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten auf den Systemen oder in den Geschäftsräumen des Händlers. Gilt nur für E-Commerce-Kanäle.

SAQ Version:

SAQ C-VT

Unzer Integrationstyp:

Virtual Terminal (MOTO)

Definition:

Anwendbar für Händler, die nur webbasierte virtuelle Terminals ohne elektronische Speicherung von Karteninhaberdaten verwenden.

SAQ Version:

SAQ D

Unzer Integrationstyp:

Server-seitige Integration

Definition:

Alle anderen Händler, die von keiner SAQ abgedeckt werden, und alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert werden, eine SAQ auszufüllen.

Hast Du Fragen?

Wenn Du Unterstützung rund um das Thema PCI-DSS-Konformität brauchst, sind unsere Experten vom Compliance Competence Center für Dich da.

Telefon: +49 6102 2082 5547 (Montag bis Freitag, 8:00 bis 18:00 Uhr) E-Mail: merchant.pci@unzer.com