Der Schutz von Kreditkarteninformationen ist für Ihr Unternehmen von entscheidender Bedeutung. Ihre Kunden verlassen sich darauf, dass Sie ihre Daten vor Diebstahl oder Betrug schützen, und jede verarbeitete Transaktion muss den Industriestandards entsprechen, um Sie und Ihre Kunden zu schützen.
Was ist PCI-Konformität?
Die Payment Card Industry Data Security Standards (PCI DSS) wurden vom PCI Security Standards Council (SSC) zum Schutz der Daten von Karteninhabern festgelegt. Jeder Händler, der Kartentransaktionen akzeptiert, muss diese Standards einhalten, um Geschäfte mit Kreditkartenunternehmen, Banken und Zahlungsabwicklern zu tätigen.
Warum ist PCI-Konformität wichtig?
Wenn das System eines Händlers kompromittiert wird und vertrauliche Informationen gestohlen werden, kann er haften und muss mit folgenden Konsequenzen rechnen:
- Bußgelder der Kartenvereinigungen.
- Unabhängige unternehmensinterne Ermittlungen.
- Die ausstellenden Banken können die Kosten für die erneute Ausstellung von Karten in Rechnung stellen (einschließlich möglicher Betrugsverluste und Kosten für die Betrugsüberwachung).
- Gerichtsverfahren.
- Bußgelder seitens der Regierung.
Namhafte Unternehmen, die kompromittiert wurden, erlitten darüber hinaus einen nachhaltigen Rufschaden, der zu geringeren Umsätzen und geringerem Verbrauchervertrauen führte.
PCI-Konformität trägt dazu bei, Sie vor solchen Angriffen zu schützen und stellt sicher, dass Sie und Ihr Unternehmen im Falle einer Sicherheitsverletzung geschützt sind. Wenn Ihr Unternehmen PCI-konform ist, ist die Wahrscheinlichkeit einer Sicherheitsverletzung weitaus geringer und noch geringer ist die Wahrscheinlichkeit, dass eine solche Verletzung zum Diebstahl sensibler Informationen führt.
PCI-Konformität aufrechterhalten
Die gesamte Hardware und Software, die Ihnen Lightspeed Payments zur Verfügung stellt, sind PCI-konform. Sie müssen jedoch bestimmte Schritte unternehmen, um sicherzustellen, dass Sie verantwortungsvoll mit vertraulichen Informationen umgehen.
Während bei einer Zahlung Daten erfasst werden müssen, müssen diese Informationen auf eine PCI-konforme Weise gespeichert und verschlüsselt werden. Als Händler können Sie sensible Daten von Karteninhabern nicht in einem unverschlüsselten Format speichern. Dazu gehört das Speichern von Kreditkartennummern in Kundenkontoprofilen oder das Speichern von Kreditkarteninformationen an einem physischen Ort, beispielsweise auf einem Notizblock oder einer Haftnotiz.
Welche Informationen gelten als vertraulich?
Datentyp | Definition |
Kontodaten | Alle Daten, die auf einer Kreditkarte zu finden sind. Diese werden in Daten von Karteninhabern und sensible Kontodaten unterteilt. |
Daten von Karteninhabern |
Zu den Daten von Karteninhabern gehören die 16-stellige PAN, das Ablaufdatum und der Name des Karteninhabers. Diese Daten sind für Angreifer äußerst wertvoll, da sie bei betrügerischen Absichten sowohl bei Transaktionen mit vorhandener Karte als auch bei Transaktionen ohne Karte verwendet werden können. Als Händler können Sie das Ablaufdatum und den Namen des Karteninhabers speichern, wenn dies aus berechtigten geschäftlichen Gründen erforderlich ist. Die Kartennummer sollte niemals unverschlüsselt gespeichert werden. |
Sensible Authentifizierungsdaten | Zu den sensiblen Kontodaten gehören die sensiblen Nachverfolgungsdaten, die auf dem Magnetstreifen gespeichert sind, die Kartenprüfnummer, die PIN und der PIN-Block. Diese Daten dürfen nach der Autorisierung niemals gespeichert werden, auch wenn sie verschlüsselt wurden. |
Die folgenden Informationen auf einer Kreditkarte gelten als sensible Informationen:
- Kreditkartennummer (PAN): Diese Nummer darf solange gespeichert werden, wie sie verschlüsselt wurde. Normalerweise sind nur die letzten 4 Ziffern sichtbar, wenn die Nummer gespeichert wurde.
- Ablaufdatum: Diese Nummern dürfen gespeichert werden, wenn dafür ein gültiger geschäftlicher Grund vorliegt.
- Name des Karteninhabers: Kundennamen dürfen gespeichert werden, wenn dafür ein gültiger geschäftlicher Grund vorliegt.
- Kartenprüfnummer: Diese Nummer darf nie gespeichert werden.
Richtlinien für den Umgang mit sensiblen Informationen
Wenn Sie mit vertraulichen Karteninformationen arbeiten müssen, können Sie Maßnahmen ergreifen, um das Risiko einer Sicherheitsverletzung zu minimieren.
- Senden Sie niemals ungeschützte Kartennummern (PANs) über Messaging-Technologien wie E-Mail, Instant Messaging, Chat, SMS usw.
- Implementieren Sie Zugriffskontrollmaßnahmen wie physische Sperren oder Passwörter, um den Zugriff auf diejenigen zu beschränken, die ihn wirklich benötigen.
- Weisen Sie jeder Person mit Zugriff eine eindeutige Identifikation (ID) zu, um sicherzustellen, dass an kritischen Daten und Systemen vorgenommene Aktionen von bekannten und autorisierten Benutzern durchgeführt werden und auf diese zurückgeführt werden können.
- Schützen Sie Geräte, die durch direkte physische Interaktion mit der Karte auf Zahlungskartendaten zugreifen, vor Manipulation und Austausch, einschließlich regelmäßiger Inspektionen der Oberflächen von Kassen, um Manipulationen zu erkennen, und schulen Sie das Personal, um auf verdächtige Aktivitäten aufmerksam zu machen.
- Implementieren Sie ein formelles Programm zur Sicherheitssensibilisierung, um alle Mitarbeiter auf die Bedeutung der Sicherheit der Daten von Karteninhabern aufmerksam zu machen.
- Überprüfen Sie potenzielle Mitarbeiter vor der Einstellung, um das Risiko von Angriffen aus internen Quellen zu minimieren. Zu den empfohlenen Überprüfungen gehört die Überprüfung des bisherigen Beschäftigungsverlaufs, des Strafregisters, der Bonität und der Referenzen.
Wie Lightspeed Ihnen hilft, die PCI-Konformität aufrechtzuerhalten
Lightspeed nimmt die PCI-Konformität ernst und ergreift strenge Maßnahmen, um die Einhaltung des PCI DSS aufrechtzuerhalten. Unser technischer Sicherheitsansatz ist darauf ausgelegt, sowohl Sie als auch Ihre Kunden zu schützen.
- Wir stellen ausschließlich PCI-konforme Hardware und Software bereit und unterhalten eine PCI-konforme Plattform.
- Lightspeed ist der passende Händler für jede Transaktion. Wir kümmern uns um die Banken.
- Wir halten uns an branchenführende PCI-Standards, um unser Netzwerk zu verwalten, unsere Web- und Kunden-Anwendungen zu schützen sowie Richtlinien in unserem gesamten Unternehmen festzulegen.
- Das integrierte Zahlungssystem von Lightspeed bietet eine Ende-zu-Ende-Verschlüsselung für jede Transaktion am Point of Sale und verschlüsselt Daten in der Sekunde, in der sie unsere Server erreichen.
Wenn Sie sich zum ersten Mal bei Lightspeed Payments anmelden, haben Sie außerdem die Möglichkeit, sich bei Viking Cloud anzumelden, unserem Partner für die Aufrechterhaltung der PCI-Konformität. Dieser Service ist für alle Lightspeed Payments-Nutzer völlig kostenlos.
Die Aufrechterhaltung der PCI-Konformität kann die Durchführung regelmäßiger Bewertungen und die Einreichung von Dokumenten im Laufe eines Jahres sowie die Kenntnis und Beobachtung von Veränderungen in der Branche umfassen. Lightspeed erledigt das alles für Sie. Wenn Sie jedoch gerne mehr darüber erfahren möchten, können Sie sich unten unsere kurze Übersicht durchlesen:
-
PCI-Konformitätsstufen
Der erste Schritt auf dem Weg zur PCI-Konformität besteht darin, herauszufinden, welche Standards Sie erfüllen müssen. Es gibt insgesamt vier Stufen. Die Schwellenwerte für das Unterschreiten einer bestimmten Stufe können jedoch von Kartenanbieter zu Kartenanbieter unterschiedlich sein. Die Stufen und Schwellenwerte für die vier großen Kartenunternehmen lauten für Händler wie folgt:
Stufe Visa Mastercard AMEX Discover L1 - Verarbeitung von mehr als 6 Millionen Visa-Transaktionen pro Jahr.
- Daten wurden durch eine Sicherheitsverletzung kompromittiert.
- Von Visa als Stufe 1 eingestuft.
- Verarbeitung von mehr als 6 Millionen Mastercard-Transaktionen pro Jahr.
- Daten wurden durch eine Sicherheitsverletzung kompromittiert.
- Von Mastercard als Stufe 1 eingestuft.
- Erfüllt die Stufe-1-Kriterien von Visa.
- Verarbeitung von mehr als 2,5 Millionen AMEX-Transaktionen pro Jahr.
- Von AMEX als Stufe 1 eingestuft.
- Verarbeitung von mehr als 6 Millionen Discover-Transaktionen pro Jahr.
- Wird von einer anderen Marke oder einem anderen Anbieter als Stufe 1 eingestuft.
- Von Discover als Stufe 1 eingestuft.
L2 - Verarbeitung von 1 bis 6 Millionen Visa-Transaktionen pro Jahr.
- Verarbeitung von 1 bis 6 Millionen Mastercard-Transaktionen pro Jahr.
- Erfüllt die Stufe-2-Kriterien von Visa.
- Verarbeitung von 50.000 bis 2,5 Millionen AMEX-Transaktionen pro Jahr.
- Verarbeitung von 1 bis 6 Millionen Discover-Transaktionen pro Jahr.
L3 - Verarbeitung von Sie 20.000 bis 1 Million Visa-E-Commerce-Transaktionen pro Jahr.
- Verarbeitung von Sie 20.000 bis 1 Million Mastercard-E-Commerce-Transaktionen pro Jahr.
- Erfüllt die Level-3-Kriterien von Visa.
- Verarbeitung von weniger als 50.000 AMEX-Transaktionen pro Jahr.
- Alle anderen Händler.
L4 - Verarbeitung von weniger als 20.000 Visa-E-Commerce-Transaktionen pro Jahr.
- Verarbeitung von bis zu 1 Millionen Visa-Transaktionen pro Jahr.
- Alle anderen Händler.
n. z. n. z. -
Anforderungen an die PCI-Konformität
Nachdem Sie die Stufe identifiziert haben, zu der Sie gehören, können Sie Ihre Anforderungen an die PCI-Konformität bestimmen.
Händler, die unter Stufe 2, 3 und 4 fallen, müssen einen jährlichen Selbstbewertungsfragebogen (Self-Assessment Questionnaire, SAQ) ausfüllen. Der SAQ besteht aus einer Reihe von Ja- oder Nein-Fragen zu den Sicherheitsanforderungen Ihres Unternehmens. Da Unternehmen unterschiedliche Anforderungen haben, gibt es verschiedene Varianten des SAQ.
In der folgenden Tabelle sehen Sie, welcher Fragebogen auf Ihr Unternehmen zutrifft:
Fragebogen Wie akzeptieren Sie Kreditkarten? Hinweis A
Händler, bei denen keine Karte vorgelegt wird (E-Commerce oder Post-/Telefonbestellung), die alle Karteninhaberdatenfunktionen vollständig an PCI DSS-validierte Drittanbieter ausgelagert haben, ohne dass Daten von Karteninhabern im System oder in den Räumlichkeiten des Händlers elektronisch gespeichert, verarbeitet oder übertragen werden. Gilt nicht für persönliche Kanäle. A-EP E-Commerce-Händler, die die gesamte Zahlungsabwicklung an PCI DSS-validierte Dritte auslagern und über eine oder mehrere Websites verfügen, die Daten von Karteninhabern nicht direkt empfangen, die jedoch die Sicherheit der Zahlungstransaktion beeinträchtigen können. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten in den Systemen oder Räumlichkeiten des Händlers. Gilt nur für E-Commerce-Kanäle. B Händler, die nur - Abdruckmaschinen ohne elektronische Speicherung von Karteninhaberdaten; und/oder
- einzelne Dial Out-Terminals ohne elektronische Speicherung der Karteninhaberdaten verwenden.
Gilt nicht für E-Commerce-Kanäle. B-IP Händler, die nur eigenständige, vom PTS zugelassene Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler verwenden, ohne elektronische Speicherung der Karteninhaberdaten. Gilt nicht für E-Commerce-Kanäle. C-VT Händler, die jeweils eine einzelne Transaktion manuell über eine Tastatur in eine internetbasierte virtuelle Terminallösung eingeben, die von einem PCI DSS-validierten Drittanbieter bereitgestellt und gehostet wird. Keine elektronische Speicherung der Karteninhaberdaten. Gilt nicht für E-Commerce-Kanäle. C Händler mit Zahlungsanwendungssystemen, die mit dem Internet verbunden sind, keine elektronische Speicherung der Karteninhaberdaten. Gilt nicht für E-Commerce-Kanäle. P2PE-HW Händler, die ausschließlich Hardware-Zahlungsterminals verwenden, die in einer validierten, PCI SSC-gelisteten P2PE-Lösung enthalten sind und über diese verwaltet werden, ohne elektronische Speicherung von Karteninhaberdaten. Gilt nicht für E-Commerce-Kanäle. D Alle Händler, die nicht in den Beschreibungen für die oben genannten Typen enthalten sind. -
Lightspeed Payments und Hardware-Compliance
Lightspeed Payments hält sich an die PCI-Konformitätsanforderungen von Level 1. Dies umfasst unter anderem die Einreichung jährlicher Compliance-Berichte (ROCs) und Compliance-Bescheinigungen (AOCs) sowie die Durchführung vierteljährlicher Scans in Bezug auf Netzwerk-Schwachstellen, die von einem zugelassenen Scan-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden.
Die gesamte Hardware und Software, die Lightspeed Payments Ihnen zur Verfügung stellt, sind PCI-konform und Sie müssen bestimmte Schritte unternehmen, um sicherzustellen, dass Sie verantwortungsvoll mit vertraulichen Karteninformationen umgehen.
-
Anforderungen an PCI DSS
Als Unternehmen, das Kreditkarten akzeptiert, müssen Sie einen PCI DSS-Fragebogen zur Selbsteinschätzung (Self-Assessment Questionnaire, SAQ) ausfüllen, um nachzuweisen, dass Informationssicherheit oberste Priorität hat. Die Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS) sind für den Schutz der Verbraucher vor Identitätsdiebstahl und Kreditkartenbetrug von entscheidender Bedeutung.
Das PCI-Compliance-Netzwerk umfasst eine Reihe von Standards, die vom Konsortium großer Kreditkartenunternehmen implementiert werden, um sicherzustellen, dass alle Händler Daten sicher verarbeiten, speichern und übertragen. Außerdem müssen Sie jährliche Bewertungen oder Berichte einreichen, die Ihre Sicherheitskontrollen belegen.
Wenn Sie einen Zahlungsabwickler eines Drittanbieters nutzen, müssen Sie diesen Zahlungsabwickler kontaktieren, um Ihre PCI-Konformität zu besprechen.
Sie können mehr über PCI DSS vom PCI Security Standards-Rat erfahren und die spezifischen Anforderungen für jedes der großen Kreditkartenunternehmen auf deren Webseiten überprüfen:
Was kommt als Nächstes?
Häufig gestellte Fragen zu Lightspeed Payments
Lesen Sie unsere Sammlung von häufig gestellten Fragen zu Lightspeed Payments.
Mehr erfahrenAnleitung zum Rückbuchungsvorgang
Erfahren Sie mehr über den Empfang und die Verwaltung von Rückbuchungen.
Mehr erfahren