Qualified Integrator and Reseller: Wer braucht einen QIR und warum?

VonHubert Hell

Qualified Integrator and Reseller: Wer braucht einen QIR und warum?

Kundendaten schützen und Kartenzahlungen sicher abwickeln – mit einer „qualifizierten Installation“ durch einen QIR

Als Qualified Integrator and Reseller (QIR) unterstützen wir Sie bei der Installation, Wartung und Einhaltung von Sicherheitsstandards bei Zahlungen mit Kreditkarten oder Debitkarten. Die Einhaltung dieser Standards ist verpflichtend seitens der großen Karten-Schemes und soll Kartendaten vor Betrug und Diebstahl schützen.

In diesem Artikel erfahren Sie, wer einen QIR benötigt, was er macht und welche Vorteile Sie als Händler und auch als Kunde dadurch haben.

Zunächst: Was bedeuten die ganzen Abkürzungen?

Auch im Bereich der Kartenzahlungen gibt es Abkürzungen ohne Ende. Die für diesen Artikel relevanten Abkürzungen sind:

PCI: Payment Card Industry

PCI DSS: Payment Card Industry Data Security Standard

PCI SSC: Payment Card Industry Security Standards Council

QIR: Qualified Integrator and Reseller

Auf die Abkürzungen mit einer jeweils kurzen Erläuterung gehe ich im nachfolgenden Text ein.

Wer muss sich an PCI DSS halten und warum?

Das PCI SSC wurde im Zusammenschluss der fünf wichtigsten Kreditkartenunternehmen (American Express, JCB, MasterCard, Discover Financial Services, Visa) initiiert und gegründet. Ziel war die Vereinheitlichung von Anforderungen an Sicherheitsstandards beim Zahlungsverkehr mit Kreditkarten bzw. Debitkarten.

Diese Anforderungen wurden im PCI DSS formuliert und ausgearbeitet. Die im PCI DSS beschriebenen Sicherheitsstandards müssen verpflichtend eingehalten werden. Und das von allen Beteiligten im kartenbezogenen Zahlungsverkehr.

Ziel des PCI DSS ist es, die persönlichen Daten von Käufern zu schützen, Kreditkartenbetrug zu verhindern und damit sichere Transaktionen zu gewährleisten.

Für wen ist PCI DSS verpflichtend?

Jeder, der Zahlungen per Kreditkarte / Debitkarte anbietet oder Kartendaten verarbeitet, speichert und übermittelt, ist verpflichtet, die Sicherheitsstandards umzusetzen und einzuhalten. Dies ist unabhängig davon, ob die Transaktion online, im stationären Handel oder übers Telefon getätigt wird.

Die Größe des Unternehmens und die Anzahl der Transaktionen werden herangezogen, um den „Level“ der einzuhaltenden Standards zu definieren. Stand heute wären das:

  • Level 1: über 6 Millionen Transaktionen jährlich
  • Level 2: zwischen 1 und 6 Millionen Transaktionen jährlich
  • Level 3: zwischen 20.000 und 1 Million Transaktionen jährlich
  • Level 4: bis 20.000 e-Commerce-Transaktionen jährlich.

Und was ist mit externen Dienstleistern, die für Sie die Zahlungsabwicklung übernommen haben?

Auch hier müssen Sie sicherstellen, dass dieser Dienstleister PCI DSS-zertifiziert ist.

Tipp: Fragen Sie Ihren Dienstleister nach dem PCI DSS-Zertifikat als pdf. Das Zertifikat ist maximal ein Jahr gültig und muss dann erneuert werden. Sie können sich das Nachfragen beim Dienstleister somit gleich auf Wiedervorlage packen.

Vorteile beim Einsatz eines PCI SSC QIR

Es ist letztendlich egal wie klein oder groß Ihr Unternehmen ist, egal was der Grund für einen Kartenumsatz ist. Sobald Sie Kreditkarten oder Debitkarten akzeptieren, müssen Sie sich an PCI DSS halten. Je nach Einstufung, d.h. nach Level, mehr oder weniger aufwändig.

Ihre Bank kann Ihnen hierbei ggf. weiterhelfen, vielleicht hat sie sogar einen Experten für das Kartengeschäft. Dieser Experte wird (sollte) sicherlich eine der höher qualifizierten Zertifizierungen des PCI innehaben.

Gelegentlich ist es jedoch hilfreich, wenn eine unabhängige Person einen Blick auf das Gesamtwerk Ihres Zahlungsverkehrs wirft. Zeit für einen QIR.

Übrigens: Visa fordert für den nordamerikanischen Markt zwingend den Einsatz eines QIRs bei jeglichen Installationen mit Bezug zum kartenbezogenen Zahlungsverkehr.

Welche Vorteile haben Sie, wenn Sie einen QIR zu Rate ziehen?

Mit einer sogenannten Qualifizierten Installation durch einen QIR sind Sie bei Kartenzahlungen auf der sicheren Seite. Ihre Vorteile betreffen im Wesentlichen drei Punkte:

  1. Sicherheit von Kunden- und Kartendaten
  2. Absicherung Ihres Unternehmens
  3. mehr Zeit für Ihre Kernkompetenzen.

Was bedeutet das im Detail?

1. Sicherheit von Kunden- und Kartendaten

Kreditkartendaten zu schützen und damit Kreditkartenbetrug zu verhindern ist das Hauptanliegen des PCI SSC.

Die meisten Sicherheitslücken sind in einer fehlerhaften Installation und unzureichender Wartung von Zahlungsverkehrsanwendungen begründet.

Dieses Problem können Sie mit einem zertifizierten QIR vermeiden bzw lösen.

2. Absicherung Ihres Unternehmens

Von der Beauftragung eines QIR profitieren nicht nur Ihre Kunden, sondern auch Sie bzw. Ihr Unternehmen. Mit dem Nachweis einer Qualifizierten Installation erhöhen Sie Ihre Reputation und sichern nicht zuletzt das Fortbestehen Ihres Unternehmens.

Betrüger nehmen sich inzwischen bevorzugt kleinere Unternehmen vor, die ihre Kartenzahlungen über externe Dienstleister abwickeln. Sollte es zu Betrug aufgrund von Sicherheitslücken oder einer fehlenden PCI-Zertifizierung kommen, haften Sie im vollen Umfang für den entstandenen Schaden. Gerade kleinere Unternehmen haben für solche Fälle oft kein ausreichendes finanzielles Polster.

Eine fehlende PCI-Zertifizierung kann außerdem Strafzahlungen bis hin zum Verbot von Zahlungen per Kreditkarte nach sich ziehen.

3. Zeit für Ihre Kernkompetenzen

Die Vorgaben und Sicherheitsstandards der PCI sind zugegebenermaßen komplex und nicht ganz einfach zu verstehen. Um für ausreichend Sicherheit zu sorgen, müssen Sie das jedoch auch sein.

Ein QIR nimmt Ihnen die Installation und Wartung des Zahlungsverkehrssytems ab. Sie können sich somit auf Ihre Fach- und Kernkompetenzen konzentrieren und Ihrer eigentlichen Tätigkeit nachgehen.

Ergänzend erklärt und schult ein QIR Sie und Ihre Mitarbeiter bezüglich des richtigen Umgangs mit Ihrem Zahlungsverkehrssystem.

Was ist und was beinhaltet eine Qualifizierte Installation?

Eine Qualifizierte Installation wird von einem vom PCI zertifizierten QIR durchgeführt. Zu einer Qualifizierten Installation gehört sowohl das Installieren einer neuen Zahlungsverkehrsanwendung, als auch Upgrades sowie Wartungen bestehender Applikationen.

Im Detail – diese Aktivitäten übernehmen wir im Rahmen unserer Tätigkeit als QIR für Sie:

  • Betreuung der Installation bis zur Inbetriebnahme
  • Überprüfung und Anpassung von Sicherheitskonfigurationen wie Antivirensoftware, Firewall und sichere Passwörter
  • Definition und Aufsetzen der Zugriffslogik auf die Anwendung
  • Festlegung von Prozessen zu verschiedenen Sicherheitsthemen inkl. Schulung der im Betrieb dafür Verantwortlichen
  • Erstellen eines Implementierungsprotokolls
  • Dokumentation potenzieller Sicherheitsrisiken.

Wir unterstützen Sie bei der Umsetzung der Vorgaben durch das PCI SSC

Die Zertifizierung als Qualified Integrator and Reseller (QIR) erfolgt durch das Payment Card Industry Security Standards Council (PCI SSC) – soweit zum komplizierten Titel. Die Zertifizierung erfolgt durch eine entsprechende Schulung inkl. Prüfung, die jährlich erneuert und wiederholt werden muss.

Hier können Sie die offiziellen Verifizierungen überprüfen. Lassen Sie sich für die Region Europa die QIRs anzeigen und Sie werden

  • Hubert Hell

als unseren zertifizierten QIR finden.

Sie bieten Zahlungen mit Kreditkarten und/oder Debitkarten an?

Sie benötigen die Unterstützung eines QIR oder haben Fragen hierzu?

Kontaktieren Sie uns gerne. Gemeinsam finden wir heraus, wie es bei Ihnen bezüglich sicherer Zahlungsabwicklungen aussieht und was noch zu tun ist.

Sie möchten sich vorab etwas ausgiebiger informieren? Kein Problem.

Über den Autor

Hubert Hell author