Ihre Datensicherheit

DETAILS ZUR PCI DSS COMPLIANCE

Was ist PCI DSS?

PCI DSS ist die Abkürzung für den Payment Card Industry Data Security Standard. Im Gegensatz zu GDPR ist der PCI DSS kein Gesetz, sondern ein Standard. Er wird von einem internationalen offenen Forum definiert und gepflegt, welches von großen Zahlungskartenmarken geschaffenen wurde. Wenn Sie Kreditkarten von Marken wie VISA und MasterCard als Zahlungsmittel akzeptieren wollen, müssen Sie diesen Sicherheitsstandard einhalten. Der PCI DSS kann als eine Sammlung von Best Practices oder Regeln für den Umgang mit den sensiblen Zahlungskartendaten angesehen werden, um Datenmissbrauch und Betrug zu verhindern.

Muss ich PCI DSS-konform arbeiten?

Immer wenn Sie einen Vertrag mit einem Zahlungsdienstleister zur Verarbeitung von Kreditkarten abschließen, müssen Sie Ihre Konformität nachweisen. Je nach Dienstleister oder anwerbender Bank müssen Sie entweder einen Fragebogen ausfüllen oder sogar eine Prüfung mit einem Qualified Security Assessor (QSA) vor Ort durchführen.

Was kann passieren, wenn ich nicht PCI DSS-konform arbeite?

Wenn Ihnen anvertraute Zahlungskartendaten durchsickern und missbraucht werden, werden die Zahlungsmarken die erwerbende Bank bestrafen. Diese Geldbußen können an Sie als Händler weitergegeben werden, wenn Sie sich als nicht konform erweisen. Sie können zwischen 5.000 EUR und 100.000 EUR für jeden Monat liegen, in dem Sie nicht konform sind, und im schlimmsten Fall könnten Sie das Recht verlieren, Zahlungskarten der großen Zahlungskartenmarken zu akzeptieren. Darüber hinaus könnten Sie mit rechtlichen Konsequenzen und einer Schädigung Ihres Rufes konfrontiert werden. Am besten ist es also, die Regeln des PCI DSS als Leitfaden zu sehen, der Ihnen hilft, Ihren Betrieb zu sichern.

PCI-Konformität mit apaleo

apaleo ist Dienstleister für unsere Kunden und wickelt die Zahlungen für Sie ab. Deshalb ist es für uns sehr wichtig, dass wir PCI DSS-konform sind. Wir führen jedes Jahr Audits vor Ort durch, um unsere Einhaltung des PCI DSS nachzuweisen. Unser QSA Adsigo prüft die technische Umsetzung, um mögliche Risiken zu erkennen, wie sensible Daten von Karteninhabern durchsickern können und überprüft auch unsere Sicherheitsrichtlinien und -prozesse. Wenn die Konformität validiert werden kann, erhalten wir eine Konformitätsbescheinigung (AOC), die Kunden hier herunterladen können. Mit diesem AOC und der Anerkennung der Verantwortung aus dem Vertrag, den Sie mit apaleo abschließen, können Hoteliers die Anforderung 12.8 des PCI DSS an das Service Provider Management problemlos erfüllen.

Pflichten des Kunden

Mit apaleo können Sie Ihr Unternehmen gemäß PCI DSS betreiben, aber es gibt immer noch Dinge, um die Sie sich kümmern müssen. Ausführliche Informationen darüber, welche Anforderungen Sie erfüllen müssen, finden Sie auf der offiziellen Website des PCI Security Standards Council.

E-Commerce und Versandhandel / Telefonische Bestellung (MoTo)

Wenn Sie Kartenzahlung auf Ihrer Website und anderen Online-Kanälen wie booking.com akzeptieren oder wenn Sie Kreditkarten für Post- und Telefonbestellungen akzeptieren, dann beziehen sich die PCI-Anforderungen auf die Beschränkung des Benutzerzugriffs auf die Karteninhaberdaten, die Sicherstellung der Compliance Ihrer Dienstanbieter und die Aufrechterhaltung eines optimalen Incident Response Plans. Dies hängt auch von Ihrer Bank oder Ihrem Zahlungsdienstleister ab.

Vor-Ort-Zahlungen mit modernen IP-basierten Kartenterminals

Wenn Sie Zahlungskarten auch vor Ort über ein modernes IP-basiertes Terminal verarbeiten, das über das Internet mit dem Payment Service Provider verbunden ist, sind Sie zusätzlichen Anforderungen ausgesetzt. Die meisten Banken oder Zahlungsdienstleister verpflichten Sie jedoch nur dann zu diesem hohen Standard, wenn Sie ein hohes Volumen an Terminaltransaktionen abwickeln. Adyen macht dies derzeit nur, wenn Sie mehr als 1 Mio. Transaktionen abwickeln.

Dann jedoch müssen Sie das Netzwerk der IP-Terminals klar von den anderen Netzwerken in Ihrem Hotel trennen und über Firewall-Regeln verfügen, die sicherstellen, dass die Terminals nur über sicher verschlüsselte Verbindungen mit dem Payment Service Provider kommunizieren können. Alle an das Netzwerk der IP-Terminals angeschlossenen Systeme gehören zur sogenannten Kartendatenumgebung (CDE). Nur autorisierte Personen sollten Zugang zu diesen Systemen haben, was für Sie auch einen höheren Aufwand bezüglich Richtlinien und Dokumentation bedeutet. Darüber hinaus müssen Sie vierteljährlich einen Scan nach externen Schwachstellen durchführen.

2021-03-16_COV_apaleo-website