PCI DSS: Pflicht oder Kür?
Was Händler über die Sicherheit von Kreditkarten wissen müssen
Rund 87.000 Cybercrime-Fälle wurden in Deutschland allein im Jahr 2018 vom Bundeskriminalamt gemeldet – mit einem Schaden von mehr als 60 Millionen Euro. Davon lagen 20 Prozent im Bereich des Kreditkartenbetrugs. Für betroffene Händler sind die Folgen fatal: Der Reputationsschaden und Vertrauensverlust der Kunden sind kaum aufzuwiegen, es kann zu Umsatzeinbußen kommen und gegebenenfalls sogar zu hohen Geldstrafen wegen Fahrlässigkeit bei der Sicherheit, die existenzbedrohlich sind. Damit es nicht so weit kommt, sollten Sie sich als Händler nach dem PCI-Sicherheitsstandard zertifizieren lassen.
Was ist der PCI DSS?
Der Payment Card Industry Data Security Standard, kurz PCI DSS, ist ein weltweit gültiger Sicherheitsstandard, der Regeln für den Umgang mit Kreditkartendaten definiert. Er umfasst sechs Kontrollziele, die sich in zwölf Hauptanforderungen aus den verschiedensten Bereichen aufgliedern – von sicheren Passwörtern für Ihr Netzwerk bis hin zu regelmäßigen Tests Ihrer Sicherheitssysteme und -prozesse.
Wer muss diesen Standard erfüllen?
Jeder Händler, der Kreditkartenzahlungen akzeptiert. Denn das bedeutet automatisch, dass Kreditkartendaten entgegengenommen, gespeichert, übermittelt oder verarbeitet werden.
Welchen Vorteil bringt eine PCI DSS Zertifizierung?
Im Fall eines Kreditkartendatenabgriffes müssen Sie als Händler nachweisen, dass Ihr Unternehmen PCI-konform arbeitet und Sie damit alles Nötige getan haben, um Kreditkartendatenmissbrauch und Betrug vorzubeugen. Waren Sie zum Zeitpunkt des Schadenfalls nach PCI DSS zertifiziert, können Sie mit einer vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen beziehungsweise Ihres Acquirers rechnen.
Wer überprüft, ob Händler PCI-zertifiziert sind?
Es gibt keine allgemeine Überprüfung. Sie sind als Händler zunächst einmal verpflichtet, die Sicherheitsstandards eigenverantwortlich umzusetzen und das auch regelmäßig nachzuweisen.
Als Zahlungsdienstleister hat VR Payment die Aufgabe, für einen sicheren Zahlungsverkehr zu sorgen. Deshalb lassen wir Kreditkartenzahlungen nur dann zu, wenn eine gültige PCI-Zertifizierung vorliegt. Um Sie dabei bestmöglich zu unterstützen, stellen wir Ihnen unsere PCI DSS-Plattform zur Verfügung. So sind alle Seiten optimal geschützt.
Wie verläuft der PCI-Zertifizierungsprozess?
Art und Umfang des Zertifizierungsprozesses sind davon abhängig, über welchen Akzeptanzkanal (Onlinehandel oder Präsenzgeschäft) Sie Kreditkarten akzeptieren, wie häufig bei Ihnen mit Kreditkarte gezahlt wird und wie stark Sie mit den Kreditkartendaten in Berührung kommen. Die Prüfmethoden reichen von einer Selbstauskunft per Fragebogen bis hin zu einem Audit durch einen Sicherheitsbeauftragten vor Ort. Die Einhaltung der Sicherheitsstandards wird zudem regelmäßig geprüft: mindestens alle 12 Monate steht eine Rezertifizierung an. Ändern Sie Ihre Zahlungsprozesse, müssen Sie die Prüfung ebenfalls erneut absolvieren – selbst innerhalb dieses Zeitraums.
Wer unterstützt Händler dabei?
Ihr Zahlungsdienstleister hilft Ihnen beim gesamten Zertifizierungsprozess. VR Payment hat dafür sogar eine eigene webbasierte PCI DSS-Plattform entwickelt: Dort durchlaufen Händler einen vereinfachten Zertifizierungsprozess, zugeschnitten auf ihr Unternehmen und die Produkte, die sie von VR Payment nutzen. Sie erhalten zudem Erinnerungen, sobald eine Rezertifizierung ansteht. Bei allen Fragen rund um PCI DSS stehen wir unseren Kunden natürlich mit Rat und Tat zur Seite – telefonisch oder via E-Mail.
