Machen Sie mit bei über 14.000 Nutzern von WP Simple Pay, um einfach Zahlungen zu akzeptieren!  

Loslegen

Alle Funktionen anzeigen

WP Simple Pay Blog

Stripe-Tutorials, Tipps und Ressourcen für WordPress zur Zahlungsabwicklung

Alles, was Sie über PCI-Konformität wissen müssen

Zuletzt aktualisiert am

Written By: Autor-Bild Dennis
LinkedIn

Die Annahme von Zahlungen online birgt einige Risiken. Es wird immer Betrüger geben, die versuchen, Zahlungsinformationen über unsichere Netzwerke zu stehlen. Deshalb ist die PCI-Konformität wichtiger denn je.

Wenn Sie Zahlungen über Ihre Website abwickeln, ist es wichtig, dass Sie die PCI-Konformität verstehen und wissen, was sie für Ihr Unternehmen bedeutet. Wenn Sie dies nicht ernst nehmen, könnten Sie Ihre Kunden und Ihr Unternehmen unnötigen Risiken aussetzen.

Ein Verizon Data Breach Incident Report aus dem Jahr 2017 ergab, dass es in diesem Jahr fast 42.068 Vorfälle im Bereich Datensicherheit gab. Lassen Sie nicht zu, dass Ihr Unternehmen eines davon ist.

Sie haben wahrscheinlich schon von PCI-Konformität gehört, wissen aber vielleicht nicht, was sie ist und warum sie relevant ist. In diesem Beitrag möchten wir Ihnen alles aufschlüsseln.

Was ist PCI DSS?

PCI DSS steht für Payment Card Industry Data Security Standard. Es handelt sich um eine Reihe von Standards, die vom PCI Security Standards Council (PCI SSC) festgelegt wurden und sich darauf beziehen, wie Unternehmen Kreditkartenzahlungen verarbeiten.

PCI-Konformität

Das PCI SSC wurde von den großen Kreditkartenunternehmen gegründet: Visa, MasterCard, American Express, Discover und JCB. Ursprünglich hatten sie alle eigene Sicherheitsstandards, aber 2006 schlossen sie sich zusammen, um alles zu standardisieren.

Ziel der Initiative ist es, sensible Verbraucherinformationen, einschließlich Kreditkartennummern, zu schützen. Dies ist gut für den Verbraucher, da es die Wahrscheinlichkeit verringert, dass Unternehmen ihre persönlichen Daten missbrauchen oder Hacker und Betrüger sie stehlen. Es ist auch gut für die Zahlungsabwicklungsbranche, da es die Wahrscheinlichkeit von Rückbuchungen und unbezahlten Schulden verringert.

Obwohl die PCI-Konformität kein Gesetz ist, müssen Sie die Standards einhalten, wenn Sie mit einem dieser Unternehmen zusammenarbeiten möchten (und das müssen Sie so ziemlich, wenn Sie Kreditkarten verarbeiten möchten).

Was zählt als sensible Information? Die primäre Kontonummer, der Karteninhabername, das Ablaufdatum, der Servicecode, Daten des Magnetstreifens, der Chip, CAV2, CVC2, CVV2, CID, PINs, PIN-Blöcke und alles andere, was Sie zur Abwicklung einer Transaktion verwenden.

PCI-Konformität

PCI DSS legt 12 Anforderungen fest, die Sie erfüllen müssen, um Karteninhaberdaten sicher und geschützt zu akzeptieren, zu speichern, zu verarbeiten und zu übertragen. Wenn Sie auch nur eine davon nicht einhalten, sind Sie nicht konform. Jede Anforderung befasst sich mit einer wichtigen Komponente der Informationssicherheit.

PCI-Konformität

  1. Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen.
  2. Verwenden Sie keine Standardeinstellungen des Anbieters für Systempasswörter und andere Sicherheitsparameter.
  3. Schützen Sie gespeicherte Karteninhaberdaten.
  4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
  5. Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antivirensoftware oder -programme.
  6. Entwickeln und warten Sie sichere Systeme und Anwendungen.
  7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach dem Prinzip der Notwendigkeit zu wissen (Need-to-know).
  8. Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten.
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
  10. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten.
  11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse.
  12. Führen Sie eine Richtlinie ein, die die Informationssicherheit für alle Mitarbeiter regelt.

Wenn Sie eine Finanztransaktion durchführen, liegt es in Ihrer Verantwortung, PCI-konform zu sein. Dies schließt die Annahme von Kreditkarten per Telefon ein.

Zusätzlich liegt es in Ihrer Verantwortung sicherzustellen, dass jeder Anbieter, der Ihnen Software oder Dienstleistungen zur Verfügung stellt, oder jedes Unternehmen oder jede Person, die Sie beauftragen, ebenfalls PCI-konform ist.

Wenn Sie beispielsweise Stripe zur Abwicklung Ihrer Kreditkartenzahlungen verwenden, können Sie zur Rechenschaft gezogen werden, wenn sich herausstellt, dass deren Dienstleistung nicht konform ist. (Glücklicherweise ist dies bei Stripe, weshalb wir sie empfehlen, kein großes Risiko.)

Sie müssen unabhängig von der Größe Ihres Unternehmens PCI-konform sein, auch wenn Sie nur eine Transaktion pro Jahr abwickeln. Andernfalls drohen Ihnen ernsthafte Strafen.

Für die aktuellsten Informationen besuchen Sie am besten die Website des PCI SSC. Ihre Standards ändern sich regelmäßig und je nach Ihrem Unternehmen, daher sollten Sie sich auf dem Laufenden halten. Machen Sie sich mit den Inhalten auf deren Händlerseite vertraut.

PCI-Händlerebenen

Die Art der benötigten Sicherheit hängt von der Anzahl der jährlich durchgeführten Zahlungen ab. Je mehr Transaktionen Sie abwickeln, desto attraktiver sind Sie für Hacker und böswillige Parteien, daher ist die PCI-Konformität in vier Stufen unterteilt:

Stufe 1 gilt für Händler, die mehr als sechs Millionen Transaktionen jährlich abwickeln. Sie müssen vierteljährliche Netzwerksicherheitsüberprüfungen durch einen zugelassenen Anbieter (Approved Scanning Vendor) und einen jährlichen Konformitätsbericht durch einen qualifizierten Sicherheitsprüfer (Qualified Security Assessor) einreichen. Sie müssen sich auch Penetrationstests unterziehen.

Stufe 2 gilt für Händler, die eine Million bis sechs Millionen Transaktionen jährlich abwickeln. Sie müssen eine jährliche Selbstbewertungsfragebogen (SAQ), eine Vor-Ort-Bewertung durch einen qualifizierten Sicherheitsprüfer (QSA), eine vierteljährliche Netzwerksicherheitsüberprüfung und Penetrationstests durchführen.

Stufe 3 gilt für Unternehmen, die 20.000 bis eine Million Transaktionen jährlich abwickeln. Stufe 4 gilt für Unternehmen, die weniger als 20.000 Transaktionen jährlich abwickeln. Beide müssen einen jährlichen Selbstbewertungsfragebogen, eine vierteljährliche Netzwerksicherheitsüberprüfung und einige andere Anforderungen erfüllen. Die meisten Unternehmen fallen in Stufe vier, die niedrigste Kategorie.

In einigen Fällen stuft der PCI SSC bestimmte Händler je nach Art ihres Geschäfts (einige bergen höhere Risiken als andere) oder wenn sie in der Vergangenheit eine Datenpanne erlitten haben, in höhere Ränge ein.

Strafen bei Nichteinhaltung

Wenn Sie die PCI-Standards nicht einhalten, riskieren Sie Datenpannen. Wenn ein böswilliger Akteur die Zahlungsinformationen Ihrer Kunden in die Hände bekommt und fehlerhafte Abbuchungen vornimmt, sind die Kreditkartenunternehmen gezwungen, illegitime Ausgaben zu tätigen, daher nehmen sie Nichteinhaltung sehr ernst.

Die Zahlungsmarken (Visa, MasterCard, American Express, Discover und JCB) können Händler, Banken oder andere Zahlungsabwicklungsanbieter nach eigenem Ermessen wegen Nichteinhaltung mit Geldstrafen belegen. Diese Strafen liegen oft zwischen 5.000 und 10.000 US-Dollar pro Monat.

Sie können auch zur Zahlung von Kartenaustauschkosten (wenn Kreditkarteninhaber ihre Konten oder Karten ändern müssen, weil sie kompromittiert wurden) und kostspieligen forensischen Prüfungen Ihres Unternehmens verpflichtet werden.

Schlimmer noch, Sie können zivilrechtlich für monetäre Schäden haftbar gemacht werden, die Ihre Kunden aufgrund fahrlässiger Verarbeitung erleiden. Das bedeutet, dass Leute Sie auf Schadensersatz verklagen können, wenn Ihre mangelnde Compliance ihre persönlichen Daten kompromittiert hat.

Darüber hinaus sind die Zahlungsmarken berechtigt, ihre Gebühren für Ihr Unternehmen zu erhöhen. Wenn sie entscheiden, dass Sie ein zu hohes Risiko darstellen, können sie die Geschäftsbeziehung mit Ihnen vollständig einstellen. Die Kreditkartenmarken legen ihre Methoden zur Gebührenfestsetzung nicht offen, aber ihre Urteile können für kleine Unternehmen sehr schädlich sein. Deshalb ist es so wichtig, dass Sie verstehen, was PCI-Konformität bedeutet und ob Sie diese erfüllen.

Zahlungsgateways

Die meisten Händler wickeln Transaktionen über Zahlungsgateways ab. Sie kennen wahrscheinlich Namen wie Stripe, PayPal, Authorize.net usw. Gateways sind Front-End-Plattformen, die sich mit den Kreditkartenbanken verbinden.

PCI-Konformität
Bild duecom

Das bedeutet, dass Sie keine individuellen Vereinbarungen mit den Kreditkartenbanken treffen müssen. Wenn Sie mit einem Gateway zusammenarbeiten, nehmen diese die von Ihnen bereitgestellten Eingaben (die Zahlungsinformationen der Kunden) entgegen und leiten diese Daten an die entsprechende Bank weiter. Sie bieten auch eine Reihe von Betrugserkennungstools an, die alle schützen.

Hier eine gute Nachricht: Wenn Sie ein Zahlungsgateway verwenden, sind Sie höchstwahrscheinlich bereits PCI-konform, da das Gateway sicherstellt, dass Sie es sind. Ihr gesamtes Geschäftsmodell beruht auf einer guten Beziehung zu den Kreditkartenmarken, daher gehen sie keine Risiken ein. Zum Beispiel verbietet Stripe bestimmten Unternehmen ausdrücklich die Nutzung ihrer Plattform, da diese Unternehmen ein hohes Risiko bergen.

Darüber hinaus können Sie durch die Nutzung eines Gateways von dessen Reputation profitieren. Wenn Sie versuchen würden, eine direkte Vereinbarung mit Mastercard zu treffen, wäre dies beispielsweise teuer, da Mastercard keinen großen Grund hätte, Ihnen zu vertrauen.

Aber wenn Sie ein Gateway wie Stripe nutzen, sind Sie nicht der Kunde von Mastercard. Stripe ist der Kunde von Mastercard, und Mastercard vertraut Stripe, da sie Millionen von erfolgreichen Transaktionen gemeinsam abgewickelt haben. Das bedeutet, dass Stripe einen besseren Satz erhält, als Sie es jemals könnten.

Bedeutet die Nutzung eines Zahlungsgateways, dass Sie die PCI-Konformität ignorieren können? Absolut nicht.

Es gibt viele Möglichkeiten, wie Sie die PCI-Konformität verletzen könnten, die nichts mit dem Gateway zu tun haben. Wenn Sie beispielsweise die Kreditkarteninformationen Ihrer Kunden auf ein Blatt Papier schreiben und an Ihre Wand kleben würden, würden Sie gegen die PCI-Standards verstoßen, aber das Gateway könnte Sie auf keine Weise schützen.

PCI-Konformitätsstandards ändern sich

Leider sind Datendiebe, Hacker und böswillige Parteien kreativ und ausgefeilt. Sie passen ihre Methoden genauso schnell an neue Sicherheitstechnologien an, wie wir uns schützen können.

Das Letzte, was Sie über die PCI-Konformität wissen müssen, ist Folgendes: Die Standards ändern sich ständig. Was heute akzeptabel ist, funktioniert morgen vielleicht nicht mehr. Wenn Sie Ihre eigene Zahlungsabwicklung verwalten, ist es entscheidend, dass Sie über die Änderungen auf dem Laufenden bleiben, damit Sie sich nicht angreifbar machen.

Wenn Sie einen Zahlungsabwickler (wie Stripe, PayPal, Authorize.net usw.) verwenden, hält Sie der Abwickler konform (wenn dies eine seiner Funktionen ist), aber es ist dennoch gut, die sich ändernde Landschaft zu verstehen.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, wenn Sie auf einige unserer Links klicken, können wir eine Provision verdienen. Wir empfehlen nur Produkte, von denen wir glauben, dass sie unseren Lesern einen Mehrwert bieten.

WP Simple Pay
50% sparen!

SOZIAL

Lass uns verbinden

Mehr lesen

Beliebte Beiträge

So verwenden Sie Smart Tags, um Bestätigungs-E-Mails für Zahlungen zu personalisieren

Personalisierung freischalten: So lassen Sie Kunden Notizen zu Zahlungsformularen in WordPress hinzufügen

Ist Stripe Atlas 2024 lohnenswert [Update]

Steigern Sie Ihren Umsatz: So aktivieren Sie ganz einfach den Kauf mehrerer Artikel in einer Transaktion

So verbessern Sie die Kundenkommunikation mit einer detaillierten E-Mail-Quittung

So erstellen Sie ein Veranstaltungsregistrierungsformular mit mehreren Preis- und Mengenoptionen

Beginnen Sie noch heute mit der Annahme von Zahlungen

Beginnen Sie mit der Annahme von einmaligen und wiederkehrenden Zahlungen oder Spenden auf Ihrer WordPress-Website.

WP Simple Pay jetzt erhalten →