Muss ich als Händler PCI-konform sein?

Falls Sie sich fragen: „Muss ich als Händler PCI-konform sein?“, so habe ich zunächst eine Gegenfrage:

Akzeptieren Sie von Ihren Kunden Kreditkarten oder Debitkarten? Das heißt, irgendeine Art von Karten von Visa, Mastercard & Co.?

Falls ja, so müssen (sollten) Sie zertifiziert sein gemäß PCI DSS.

Bieten Sie Ihren Kunden hingegen keine Bezahlmöglichkeit mit Kredit- oder Debitkarten an, so besteht für Sie keine Verpflichtung zu einer PCI-Zertifizierung bzw. PCI-Konformität.

Unabhängig davon empfehle ich es Ihnen trotzdem. Warum, das können Sie in diesem Artikel lesen.

Kurz vorweg: Was ist PCI DSS?

PCI DSS, der Payment Card Industry Data Security Standard, regelt und gibt Vorgaben für die Handhabung und Abwicklung von Kreditkartentransaktionen. Das Regelwerk wurde von den großen Kreditkartenorganisationen erstellt.

Der PCI DSS besteht aus einer Gruppe von zwölf Anforderungen, die je nach Einstufung und Qualifizierung des Händlers komplett oder in Teilen erfüllt werden müssen.

Was sind Karteninhaberdaten?

Als Karteninhaberdaten (Cardholder Data, CHD) werden die folgenden Details betrachtet:

  • primäre Kontonummer (PAN), Kartennummer
  • Name des Karteninhabers
  • Ablaufdatum der Karte
  • Service Code.

Sie als Unternehmer benötigen von Ihren Kunden Details zu den Karteninhaberdaten, um eine Zahlung akzeptieren zu können. Sei es in Ihrem Onlineshop, an einem mobilen POS-Terminal oder einer fest installierten Anlage, Sie nehmen auf irgendeine Art und Weise die Karteninhaberdaten Ihrer Kunden entgegen. Denn nur so können die Kunden Sie mit Karte bezahlen.

Wir speichern keine Karteninhaberdaten – trotzdem PCI-relevant?

Kurz gesagt: Ja!

Auch wenn Sie keine Karteninhaberdaten bei sich speichern, müssen Sie dennoch die PCI-Anforderungen erfüllen und PCI-konform sein.

Ein Beispiel hierzu: In Ihrem Onlineshop können Kunden mit Karte bezahlen. Hierfür haben Sie ein spezielles Formular Ihres Zahlungsdienstleisters (PSP) integriert, d.h. die Karteninhaberdaten werden direkt auf dem Server des Zahlungsdienstleiters erfasst. Sie speichern keine Daten, sondern bekommen nur das „ok / nicht ok“ mitgeteilt für die weitere Bearbeitung des Kauf-/Bestellprozesses.

Dennoch müssen Sie sich an PCI DSS halten, denn es ist Ihre Website, die die Verbindung zum PSP aufbaut. Und über Ihre Website können während dieses Vorgangs Daten abgegriffen werden.

Was passiert, wenn ich nicht PCI-konform bin?

Akzeptieren Sie oder sind Sie beteiligt an Kreditkartentransaktionen, dann müssen Sie sich an PCI DSS halten.

Das Nichteinhalten von PCI DSS zieht bei Auftreten eines Schadensfalles Strafen nach sich. Diese reichen von durchaus erheblichen monetären Strafen bis hin zum Ausschluss aus dem (Kreditkarten-) Netzwerk.

Wir akzeptieren keine Kreditkarten, warum ist PCI DSS dennoch eine gute Idee?

Wenn Sie keine Kartentransaktionen mit Visa, Mastercard, etc. durchführen, müssen Sie sich nicht an PCI DSS halten.

Warum ist das Umsetzen von PCI DSS, selbst in Teilen, dennoch eine gute Idee?

Dafür gibt es mehrere Gründe:

  • Sobald Sie Kundendaten irgendeiner Art aufnehmen, und sei es nur Name, Mailadresse oder Telefonnummer, so sollten Sie sehr sorgsam damit umgehen. Mit „sorgsam“ meine ich: auf keinen Fall darf ein Dritter darauf zugreifen können. Und genau dafür wurde PCI DSS gemacht.
  • Nicht nur geht es um Kundendaten, die geschützt werden wollen. Auch Ihre internen Daten wollen Sie sicherlich nicht preisgeben. Durch das Beschäftigen mit PCI DSS sensibilisieren Sie sich und Ihr Unternehmen für mögliche Schwachstellen in Ihrer IT-Umgebung.
  • Und auch wenn Sie jetzt aktuell keine Kreditkartenzahlungen akzeptieren, vielleicht ist das eine Option in nicht allzu ferner Zukunft? Der prozentuelle Anteil von Kartenzahlungen geht stetig nach oben. Wenn Sie sich bereits jetzt mit PCI DSS beschäftigen und ggf. Teile davon umsetzen, so sind Sie vorbereitet und können schneller agieren.

Sie haben Fragen zu PCI DSS, Ihrer Einstufung als Händler oder zu den Fragebögen (SAQ)

Als PCI-zertifizierter QIR (Qualified Integrator and Reseller) führe ich sogenannte „qualifizierte Installationen“ durch. Sobald Sie Kreditkartenzahlungen akzeptieren, sollten Sie zumindest einmal mit einem QIR gesprochen haben. Warum die mitunter sehr kurze Zusammenarbeit mit einem QIR für Sie sinnvoll ist, das habe ich in diesem Artikel beschrieben.

Als QIR kann und darf ich Sie nicht als PCI-konform bestätigen oder zertifizieren. Jedoch unterstütze ich Sie gerne bei Ihren Fragen zu PCI DSS, notwendigen Installationen oder Updates, Gesprächen mit Zahlungsverkehrsdienstleistern, Banken oder Programmierern.

PCI-konform oder nicht?

Müssen Sie als Händler PCI-konform sein? Hier die Zusammenfassung:

  • Akzeptieren Sie Kartenzahlungen von Visa, Mastercard, etc.?  JA, Sie müssen PCI-konform sein!
  • Sie akzeptieren keine Kreditkartenzahlungen?  NEIN, keine Verpflichtung zur PCI-Konformität.

Sie akzeptieren Kartenzahlungen und haben Fragen, Zweifel, Hilfebedarf betreffs PCI DSS?

Hier geht es zu den Kontaktdaten. Ich freue mich auf Ihre Nachricht!

Dieser Beitrag hat 2 Kommentare

  1. Michael W

    Hallo Herr Hell,
    von einem QIR hatte ich noch nie gehört, wurde aber von unserem externen Zahlungsexperten deswegen angesprochen. Wir haben neben unserer normalen Website auch einen Online-Shop (WooCommerce), unteranderem mit Kartenzahlung. Habe ich Sie richtig verstanden, dass wir in Deutschland keinen Qir verpflichtend benötigen? Können Sie sich trotzdem mal die Website anschauen ob das alles in Ordnung ausschaut? (das Setup im Hintergrund, meine ich, ich kann Ihnen das per Skype zeigen).
    Grüße

    1. Hubert Hell

      Hallo Michael,
      klar, schaue ich mir gerne an. Mit WooCommerce und richtigem Setup erwarte ich keine größeren Probleme, den Rest besprechen wir direkt. E-Mail ist unterwegs.
      Viele Grüße!

Schreibe einen Kommentar