PCI-Compliance für kleine Einzelhändler: Expertenleitfaden
Bedeutung der Compliance: PCI DSS ist für kleine Einzelhändler unerlässlich; fehlende Compliance kann zu hohen Bußgeldern und Datenpannen führen.
Händlerlevel: Kleine Händler fallen oft unter Level 4 und müssen nur eine Selbsteinschätzung anstelle externer Audits vorlegen.
Richtige SAQ-Wahl: Die Wahl des korrekten SAQ ist entscheidend, um unnötige Aufgaben zu vermeiden und wichtige Anforderungen nicht zu übersehen.
Technische Maßnahmen: Implementieren Sie zentrale Maßnahmen wie Netzwerksicherheit und Passwortregeln, um 80 % des Compliance-Risikos zu minimieren.
Validierungsplan: Um konform zu bleiben, sind jährliche Überprüfungen sowie stetige Systemaktualisierungen und Umgebungsüberwachung notwendig.
Wenn Sie Kreditkarten akzeptieren, wartet die PCI-Konformität auf Sie – wie eine Steuerrechnung, nur mit mehr Abkürzungen und weniger Schlupflöchern.
Die meisten kleinen Einzelhändler ignorieren sie entweder, hoffen, dass ihr Zahlungsdienstleister das regelt, oder gehen davon aus, dass sie zu unbedeutend sind, um aufzufallen. Alle drei Varianten sind Wunschdenken.
Hier kommt der Realitätscheck: Ein einziger Fehltritt – und Sie sehen sich mit Strafen konfrontiert, die einen neuen Laden finanzieren (oder den aktuellen schließen) könnten. Datenschutzverletzungen sind nicht nur Schlagzeilen für große Ketten; für unabhängige Händler bedeuten sie oft das Geschäftsende.
Want more from The Retail Exec?
Sign up for a free membership to complete reading this article:
Have an account? Log In
Und ja, die Regeln gelten auch, wenn Sie nur ein paar Transaktionen im Monat verarbeiten.
Also lassen Sie das Händeringen und kommen wir zum Wesentlichen: Wie Sie herausfinden, welche PCI-Anforderungen für Ihr Geschäft relevant sind, was Sie tun müssen (und was Sie ignorieren können) und wie Sie konform werden, ohne eine Woche mit Papierkram zu vergeuden oder einen Berater für das Vorlesen des Handbuchs zu bezahlen.
Dieser Leitfaden ist für Praktiker gemacht, die Fakten, Abkürzungen und die Dinge wollen, die Ihnen sonst erst mitgeteilt werden, wenn es zu spät ist.
Was PCI DSS für kleine Einzelhändler bedeutet
PCI DSS ist nicht optional — akzeptieren Sie Karten, folgen Sie den Regeln, oder Sie riskieren Bußgelder und Datenschutz-Folgekosten, die ein kleines Unternehmen lahmlegen können.
Der Payment Card Industry Data Security Standard (PCI DSS) wird von den großen Kartenmarken – Visa, Mastercard, American Express, Discover und JCB – durchgesetzt.
Diese Unternehmen verpflichten jeden Händler, der Karteninhaberdaten verarbeitet, speichert oder überträgt, bestimmte Sicherheitsstandards beim Zahlungsverkehr einzuhalten, unabhängig von der Unternehmensgröße.
Viele kleine Einzelhändler gehen davon aus, dass sie zu unbedeutend sind oder dass ihr Zahlungsdienstleister die Konformität übernimmt.
Beides ist falsch.
Schon wenn Sie nur eine einzige Kreditkartentransaktion abwickeln, sind Sie für die PCI-Compliance verantwortlich. Ihr Zahlungsdienstleister mag konform sein, aber das entbindet Sie nicht von der Verantwortung, Kartendaten in Ihrer Umgebung zu schützen.
Das Risiko ist real.
Nicht-konforme Händler drohen Bußgelder zwischen $5.000 und $100.000 monatlich. Datenschutzverstöße kosten kleine Unternehmen im Durchschnitt 2,98 Millionen Dollar, wie IBMs Cost of a Data Breach Report 2024 zeigt – genug, um die meisten Einzelhändler dauerhaft zu schließen. Über den finanziellen Schaden hinaus riskieren Sie, Ihr Händlerkonto ganz zu verlieren.
Um den größeren Zusammenhang zu Zahlungsdienstleister-Regulierungen und deren Schutzfunktion für Händler und Kunden zu verstehen, reicht die Compliance weit über PCI DSS hinaus.
Das Verständnis dieser Vorgaben beginnt mit der Kenntnis, welche Konformitätsstufe auf Sie zutrifft – und die meisten kleinen Händler fallen in eine Kategorie, die einfacher zu bewältigen ist, als sie denken.
Welche Compliance-Stufe haben Sie?
Die meisten kleinen Einzelhändler sind Level 4 und müssen nur jährliche Selbstauskunfts-Fragebögen ausfüllen, keine teuren Prüfungen durch Dritte.
Die PCI-Compliance kennt vier Händler-Stufen, basierend auf dem jährlichen Transaktionsvolumen innerhalb von 12 Monaten:
| Level | Transaktionsvolumen | Meiste kleine Händler | Erforderlicher Nachweis |
|---|---|---|---|
| Level 4 | <20K E-Commerce ODER <1M insgesamt | ✓ AM HÄUFIGSTEN | Jährlicher SAQ + Vierteljährliche Scans |
| Level 3 | 20K–1M E-Commerce-Transaktionen | Teilweise Multi-Standorte | Jährlicher SAQ + Vierteljährliche Scans |
| Level 2 | 1M–6M Transaktionen | Große Einzelhändler | Jährlicher SAQ + Vierteljährliche Scans |
| Level 1 | 6M+ Transaktionen ODER jeder Vorfall | Nur Großunternehmen | Umfassendes QSA-Audit + Bericht |
Harbor & Pine, unser fiktiver Lifestyle-Einzelhändler mit 20 Filialen und 800.000 Transaktionen pro Jahr über alle Kanäle, fällt in Level 3, weil jährlich mehr als 20.000 E-Commerce-Transaktionen abgewickelt werden.
Als sie mit fünf Filialen begannen, waren sie Level 4 — ein deutlich einfacherer Weg zur Compliance.
Der wichtigste Unterschied: Level-4-Händler füllen Selbstauskunfts-Fragebögen (SAQs) aus, statt qualifizierte Security Assessoren (QSAs) mit formellen Audits zu beauftragen.
Das spart tausende an Prüfungsgebühren, erfordert aber eine ehrliche Einschätzung und Dokumentation Ihrer eigenen Compliance.
Ihre Bank oder Ihr Zahlungsdienstleister sagt Ihnen, welche Stufe für Sie gilt und welche Nachweise verlangt werden. Einige Anbieter gehen über die PCI-Anforderungen hinaus, daher empfiehlt sich Rückfrage bei Ihrem Anbieter.
Sobald Sie Ihre Stufe kennen, wählen Sie den passenden SAQ-Typ – liegt hier ein Fehler vor, verschwenden Sie Zeit an irrelevante Anforderungen.
Den richtigen SAQ wählen: Das Entscheidungs-Framework
Wenn Sie den falschen SAQ auswählen, verschwenden Sie Zeit mit unnötigen Anforderungen oder übersehen kritische Punkte – so wählen Sie richtig.
Self-Assessment Questionnaires (SAQs) unterscheiden sich je nach Zahlungsabwicklungsverfahren und Komplexität der Umgebung.
Die Länge des Fragebogens erzählt die Compliance-Geschichte:
- SAQ A (22 Fragen): Der einfachste Weg für Händler, bei denen die Zahlung nicht vor Ort erfolgt und die die gesamte Zahlungsabwicklung auslagern. Sie sehen niemals Kartendaten – Kunden geben die Zahlungsdaten direkt auf der sicheren Seite Ihres Zahlungsanbieters ein.
- SAQ A-EP (178 Fragen): Für Online-Händler mit Zahlungsseiten auf der eigenen Website, aber ohne Speicherung von Kartendaten. Die Zahlungsdaten durchlaufen Ihre Website, werden aber woanders verarbeitet.
- SAQ B (41 Fragen): Gilt für Händler, die eigenständige Dial-up- oder IP-Terminals verwenden, die nicht mit anderen Systemen verbunden sind. Gemeint sind einfache Kartenterminals zum Durchziehen ohne Integration.
- SAQ C (160 Fragen): Am häufigsten für kleine Einzelhändler mit integrierten Kassensystemen (POS). Umfasst Händler mit Zahlungsanwendungen, die mit dem Internet verbunden sind, aber keine Kartendaten speichern.
- SAQ D (329 Fragen): Der umfassende Fragebogen für alle anderen Händler, auch für solche, die Kundendaten speichern oder komplexe Zahlungsumgebungen haben.
Harbor & Pine dachte zunächst, dass ihr integriertes Kassensystem für SAQ A geeignet wäre, weil ihr Dienstleister angeblich „alles abwickelt“.
Sie benötigten tatsächlich SAQ C, da ihr Kassensystem mit ihrem Netzwerk und dem Warenwirtschaftssystem verbunden ist. Die falsche SAQ führte dazu, dass wichtige Anforderungen an die Netzwerksicherheit übersehen wurden.
Beginnen wir mit einem einfachen Entscheidungsbaum:
- Nur Drittanbieter-Abwicklung. Kunden geben Kartendaten direkt auf der Seite Ihres Zahlungsanbieters ein, ohne dass Daten durch Ihre Systeme fließen → SAQ A
- Website-Integration ohne Speicherung. Kartendaten durchlaufen Ihre Website, werden aber woanders verarbeitet und nicht gespeichert → SAQ A-EP
- Eigenständige Terminals. Sie nutzen Dial-up- oder IP-Terminals ohne Netzwerkverbindung → SAQ B
- Netzwerkverbundene Systeme. Sie haben Kassensysteme oder Zahlungsanwendungen, die mit Ihrem Netzwerk verbunden sind → SAQ C oder D
Achtung:
Sie könnten SAQ-Varianten wie C-VT (virtuelles Terminal) oder B-IP/P2PE-HW (spezielle Terminalfälle) sehen.
Diese entsprechen den gleichen Grundpflichten wie B oder C, beschränken aber die Fragen auf spezielle Anwendungsfälle. Nutzen Sie das Quiz unten, um die genaue SAQ und erste Schritte zu ermitteln.
Sie wissen nicht, welche Variante bei Ihnen zutrifft? Nutzen Sie das Quiz unten – es zeigt Ihnen zum Beispiel, ob Sie SAQ C oder die Variante C-VT brauchen.
Im Zweifel hilft Ihnen Ihr Zahlungsdienstleister oder Ihre Acquiring-Bank dabei, die richtige SAQ auszuwählen. Sobald Sie die richtige SAQ gefunden haben, beginnt die eigentliche Arbeit – die Umsetzung der technischen Kontrollen, die das Fundament Ihrer Compliance bilden.
Unverzichtbare technische Kontrollen für jeden Einzelhändler
Diese sechs Kontrollen decken 80% Ihres Compliance-Risikos ab – setzen Sie diese zuerst um, bevor Sie sich um die Dokumentation kümmern.
Netzwerksicherheit und Zugriffskontrollen
Drei grundlegende Kontrollen schützen Ihre Netzwerkgrenze:
- Firewall-Schutz. Installieren und pflegen Sie Firewalls rund um Systeme, die Karteninhaberdaten verarbeiten. Dazu gehören POS-Netzwerke, Bürocomputer und WLAN-Netzwerke. Viele kleine Händler begehen den Fehler, POS-Systeme ohne korrekte Segmentierung im selben Netzwerk wie Bürocomputer zu betreiben.
- Eliminierung von Standardpasswörtern. Ändern Sie alle vom Hersteller vergebenen Standardpasswörter sofort. Standardpasswörter sind online verfügbar und werden bei automatisierten Angriffen genutzt. Das gilt für Router, POS-Systeme, Zahlungsterminals, Sicherheitskameras und alle verbundenen Geräte.
- Zugriffsbeschränkung. Beschränken Sie den Zugriff auf Karteninhaberdaten auf das absolut nötige Maß. Nicht jeder Mitarbeitende braucht Zugriff auf Zahlungssysteme. Legen Sie für jede Person eigene Benutzerkennungen an und verlangen Sie starke, regelmäßig zu ändernde Passwörter.
Sicherheit bei der Zahlungsabwicklung
- Karteninhaberdaten verschlüsseln, egal ob sie gespeichert oder übertragen werden. Ein Haupt-Vorteil moderner Kassensysteme besteht darin, dass sie dies in der Regel automatisch übernehmen – prüfen Sie dies jedoch bei Ihrem Anbieter.
- Speichern Sie niemals sensible Authentifizierungsdaten wie CVV-Codes oder PIN-Verifizierungswerte – dies ist verboten.
- Verwenden Sie sichere Zahlungsterminals. Moderne Kassensysteme mit Point-to-Point-Verschlüsselung (P2PE) verschlüsseln Kartendaten ab dem Moment des Durchziehens und verringern den Compliance-Aufwand deutlich.
Diese Systeme sind in der Anschaffung teurer, erleichtern jedoch die laufenden Compliance-Anforderungen.
Wenn Sie tiefer in die Implementierung sicherer Zahlungsabwicklung einsteigen möchten: Verschlüsselung und Tokenisierung arbeiten zusammen, um Daten in allen Bereichen zu schützen.
Systemwartung und Überwachung
- Installieren Sie Antivirensoftware auf allen Systemen, die Zahlungsdaten verarbeiten, und halten Sie diese aktuell. Kassensysteme im Einzelhandel sind beliebte Ziele für Memory-Scraping-Malware, die entwickelt wurde, um Zahlungsdaten zu stehlen. Einer der Vorteile von POS-Systemen im Einzelhandel ist, dass sie viele integrierte Sicherheitsfunktionen bieten.
- Führen Sie regelmäßige Schwachstellenscans mit einem Approved Scanning Vendor (ASV) durch. Externe Scans sind vierteljährlich vorgeschrieben, und gefährliche Schwachstellen müssen vor Ihrer Compliance-Bestätigung behoben werden.
Harbor & Pine hat dies bei der Expansion erfahren, als beinahe eine Sicherheitslücke durch ein Standardpasswort auf dem WLAN-Router am neuen Standort entstand.
Schnelles Handeln der IT-Abteilung verhinderte eine Datenoffenlegung, verdeutlichte aber, wie leicht technische Versäumnisse ein enormes Risiko darstellen können.
Dokumentationspflichten
- Pflegen Sie Sicherheitsrichtlinien zur Datenverarbeitung, Zugangskontrolle und Reaktion auf Vorfälle. Diese müssen nicht kompliziert sein – einfache, klare Abläufe, denen Ihr Personal auch tatsächlich folgen kann.
- Protokollieren und überwachen Sie den Zugriff auf Karteninhaberdaten und geschützte Systeme.
- Führen Sie detaillierte Aufzeichnungen darüber, wer wann auf was zugreift. Viele Verstöße werden erst Monate später durch Log-Analysen entdeckt.
Diese technischen Maßnahmen gehen Hand in Hand mit dem menschlichen Faktor der Compliance – also Ihren Richtlinien, den Mitarbeiterschulungen und Maßnahmen zur physischen Sicherheit.
Richtlinien, Mitarbeiterschulungen & physische Sicherheit
Technik allein reicht für die Compliance nicht aus – Sie benötigen dokumentierte Prozesse, die Ihr Personal auch wirklich umsetzt.
Zugriffsmanagement
Erstellen Sie schriftliche Vorgaben für Passwortrichtlinien, Nutzerbereitstellung und die Verarbeitung von Daten. Fordern Sie individuelle Benutzer-IDs für jede/n Mitarbeitende/n und verbieten Sie die gemeinsame Nutzung von Konten.
Wenn Mitarbeitende ausscheiden, deaktivieren Sie deren Zugriff auf sämtliche Zahlungssysteme umgehend.
Minimale Passwortanforderungen:
Acht Zeichen, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Für privilegierte Konten sind alle 90 Tage Änderungen vorgeschrieben. Ziehen Sie Passwortmanager in Betracht, damit Mitarbeitende starke und einzigartige Kennwörter nutzen.
Mitarbeiterschulung
Schulen Sie alle Mitarbeitenden, die Zahlungskarten verarbeiten, zu den PCI-Datensicherheitsverfahren.
Vermitteln Sie den korrekten Umgang mit Zahlungskarten, welche Daten sie speichern dürfen und welche nicht (Kartenummern niemals notieren), sowie wie verdächtige Aktivitäten erkannt und gemeldet werden.
Dokumentieren Sie Schulungsdaten und Inhalte. Viele SAQs verlangen Nachweise, dass Mitarbeitende ihre Verantwortung für Datensicherheit verstehen.
Physische Sicherheit
Sichern Sie den physischen Zugang zu Zahlungsterminals, Karteninhaberdaten und Datenträgern.
Das bedeutet: Serverräume abschließen, Zugang zu Kassenterminals beschränken und Zahlungsunterlagen ordnungsgemäß vernichten.
Schützen Sie gespeicherte Medien mit Karteninhaberdaten.
Falls Sie Zahlungsinformationen speichern müssen (vermeiden Sie dies nach Möglichkeit), verwenden Sie abschließbare Aktenschränke mit Zugangskontrolle. Vernichten Sie alte Zahlungsunterlagen sicher – Zerkleinerung oder Verbrennung für Papier, sicheres Löschen für elektronische Medien.
Viele kleine Einzelhändler unterschätzen die Bedeutung physischer Sicherheit und denken, nur IT-Sicherheit wäre wichtig.
Aber auf Haftnotizen geschriebene Zahlungsdaten, unverschlossene Serverräume und unsachgemäß entsorgte Zahlungsaufzeichnungen führen zu Compliance-Verstößen und Sicherheitsrisiken.
Harbor & Pine erlebte dies, als sie ihren sechsten Standort eröffneten.
Obwohl sie eine ausgezeichnete digitale Sicherheit hatten, stellten sie fest, dass Mitarbeiter im neuen Laden Kartennummern der Kunden aus "Bequemlichkeit" auf Bestellformulare schrieben. Eine kurze Erinnerungsmail an die Richtlinien und eine Schulung lösten das Problem, bevor die Compliance-Prüfung stattfand.
Mit soliden technischen Kontrollen und klaren Richtlinien wird Compliance zu einem kontinuierlichen Prozess und nicht zur hektischen jährlichen Pflicht.
Validierung & Einhaltung der Compliance
Compliance bedeutet jährliche Validierung plus laufende Wartung – hier ist Ihr Zeitplan, um aktuell zu bleiben.
Jährliche Anforderungen
Ihre jährliche Compliance-Checkliste:
✓ Füllen Sie den SAQ aus und senden Sie ihn mit Konformitätsbestätigung (AoC) an Ihre Akquisitionsbank oder an den Zahlungsdienstleister
✓ Rechtzeitig beim Zahlungsdienstleister einreichen, um Strafgebühren wegen Nichteinhaltung zu vermeiden
✓ Bestehen Sie vier vierteljährliche externe Schwachstellenscans durch einen ASV ($100-500 pro Quartal)
✓ Beheben Sie alle Schwachstellen mit hohem Risiko vor der Attestierung
Laufende Wartung
Laufende Compliance erfordert ständige Aufmerksamkeit:
- Systemaktualisierungen. Halten Sie die Kassensoftware und Zahlungsanwendungen durch Sicherheitsupdates aktuell. Abonnieren Sie die Sicherheitsbulletins der Anbieter und installieren Sie wichtige Updates umgehend.
- Umgebungsüberwachung. Neue Kassenterminals, Software-Upgrades oder ein Wechsel des Zahlungsdienstleisters können einen anderen SAQ-Typ oder zusätzliche Sicherheitsmaßnahmen erfordern.
- Zugriffsüberprüfungen. Vierteljährliche Überprüfungen der Zugriffslisten entfernen ausgeschiedene Mitarbeiter und stellen sicher, dass aktuelle Zugriffsrechte den Anforderungen entsprechen.
Der PCI DSS-Standard selbst wird regelmäßig aktualisiert. Version 4.0 trat im März 2024 in Kraft, die vollständige Umsetzung ist ab März 2025 verpflichtend. Informieren Sie sich über Ihren Zahlungsdienstleister oder Mitteilungen des PCI Security Standards Councils.
Auch bei bester Absicht machen kleine Einzelhändler häufig Fehler, die ihre Compliance-Bemühungen zunichte machen und unnötige Risiken schaffen.
Harbor & Pine erlebte das, als ein scheidender Filialleiter einen Laptop mitnahm, der möglicherweise Kundenzahlungsdaten enthielt. Der potenzielle Datenabfluss löste Meldepflichten und behördliche Prüfungen aus – selbst ohne tatsächlichen Vorfall.
Der Vorfall führte zu strengeren Richtlinien für das Gerätemanagement an allen Standorten.
Das Verständnis dieser Fallstricke unterstützt Budget- und Entscheidungsfindung rund um die Compliance.
Budget für Compliance: Realistische Kosten
Geben Sie ein paar schnelle Angaben zu Ihrem Geschäft ein und wir schätzen Ihre PCI-Kosten im ersten Jahr, Ihren jährlichen Aufwand und welche Faktoren die Kosten beeinflussen.
Planen Sie jährlich $2,000-8,000 für Level-4-Compliance ein, abhängig von Ihrer aktuellen Sicherheitslage und Systemkomplexität.
Typische Kostenaufteilung
| Kostenkategorie | Kostenrahmen | Häufigkeit | Leistungsumfang |
|---|---|---|---|
| SAQ-Ausfüllung | $500-2,000 | Jährlich | Eigenumsetzung vs. Beratung |
| Schwachstellenscans | $400-2,000 | Vierteljährlich | ASV-Externe Scans |
| Kassen-/Systemaufrüstung | $0-5,000 | Einmalig* | Sicherheitskonforme Hardware |
| Netzwerksicherheit | $500-3,000 | Einmalig* | Firewalls, Segmentierung |
| Schulungen & Richtlinien | $200-800 | Jährlich | Mitarbeiterschulungen, Dokumentation |
| Laufende Wartung | $300-1,200 | Jährlich | Updates, Monitoring, Zugriffsmanagement |
ROI-Berechnung
Stellen Sie die Compliance-Kosten den Folgen eines Datenverstoßes gegenüber: Der durchschnittliche Schaden einer Datenschutzverletzung bei kleinen Unternehmen liegt bei $2,98 Millionen, während umfassende PCI-Compliance jährlich $3,000-6,000 kostet.
Bereits grundlegende Compliance-Maßnahmen reduzieren das Risiko und die Kosten eines Datenverstoßes erheblich.
Wann Sie Hilfe in Anspruch nehmen sollten
Ziehen Sie einen QSA oder Berater in Erwägung, wenn:
- Komplexer Fragebogen. Ihr SAQ umfasst mehr als 100 Fragen
- Datenhaltung. Sie speichern Karteninhaberdaten in irgendeiner Form
- Netzwerkkomplexität. Sie verfügen über mehrere integrierte Systeme oder komplexe Netzwerkinfrastrukturen
- Vorherige Fehlschläge. Sie haben frühere Compliance-Prüfungen nicht bestanden
DIY funktioniert, wenn:
- Einfache Verarbeitung. Sie nutzen einfache Zahlungsabwicklung (SAQ A oder B)
- Technisches Verständnis. Sie besitzen grundlegende IT-Kenntnisse und Zeit, sich einzuarbeiten
- Support durch Zahlungsdienstleister. Ihr Zahlungsanbieter bietet gezielte Unterstützung bei der Compliance
Die meisten Händler der Stufe 4 schaffen die Compliance auch ohne teure Berater, doch professionelle Hilfe stellt sicher, dass keine kritischen Anforderungen übersehen werden, die zu Bußgeldern oder Audits führen könnten.
Harbor & Pine startete mit DIY-Compliance, als sie fünf Filialen hatten, engagierte jedoch einen Berater, als sie auf 15 Standorte expandierten und in Stufe 3 aufstiegen.
Die Investition hat sich bezahlt gemacht, da so ein mögliches Bußgeld in Höhe von 25.000 $ wegen unvollständiger Dokumentation bei der ersten formellen Prüfung vermieden wurde.
Wichtige Tools, die helfen können: POS-Systeme mit integrierten Compliance-Funktionen, Zahlungsdienstleister, die PCI-Auflagen vereinfachen und sichere Zahlungs-Gateways reduzieren den Compliance-Aufwand, indem sie Verschlüsselung und Tokenisierung automatisch übernehmen.
Bleiben Sie konform, profitieren Sie davon
PCI-Compliance muss kleine Einzelhändler nicht überfordern. Konzentrieren Sie sich zuerst auf die wichtigsten Kontrollen, wählen Sie das passende SAQ für Ihre Umgebung und etablieren Sie konsequente Sicherheitspraktiken.
Die Investition in Compliance ist minimal im Vergleich zu den Kosten einer Sicherheitsverletzung oder dem Verlust der Möglichkeit, Kreditkartenzahlungen anzunehmen.
Für spezifische Compliance-Empfehlungen, die auf Ihre Zahlungsumgebung zugeschnitten sind, wenden Sie sich an Ihre Acquiring-Bank oder Ihren Zahlungsdienstleister. Sie helfen Ihnen, die genauen Anforderungen und Validierungsverfahren festzulegen.
Für einen umfassenderen Einblick in die Zahlungsabwicklung besuchen Sie unseren vollständigen Leitfaden zur Zahlungsabwicklung.
Der Handel steht nie still – und das sollten Sie auch nicht tun. Abonnieren Sie unseren Newsletter für aktuelle Einblicke, Strategien und Karriere-Ressourcen von führenden Persönlichkeiten der Branche.
Häufig gestellte Fragen zur PCI-Compliance
Einige abschließende Fragen und Antworten, bevor wir abschließen.
Was genau zählt als "Karteninhaberdaten", die ich schützen muss?
Primäre Kontonummer (PAN), Ablaufdatum, Name des Karteninhabers und Servicecode. Bewahren Sie niemals CVV-Codes, PIN-Verifizierungswerte oder vollständige Magnetstreifendaten auf – das ist verboten.
Kann ich die gesamte Zahlungsabwicklung auslagern, um die PCI-Compliance zu umgehen?
Nein. Durch Auslagerung wird der Umfang der Compliance zwar reduziert, aber Sie sind trotzdem dafür verantwortlich, Karteninhaberdaten in Ihrer Umgebung zu schützen und sicherzustellen, dass Dienstleister ebenfalls konform sind.
Wie oft sind Schwachstellenscans erforderlich?
Externe Scans sind vierteljährlich durch einen ASV erforderlich. Interne Scans ebenfalls vierteljährlich, falls Sie interne Netzwerke mit Karteninhaberdaten betreiben. Fehlgeschlagene Scans müssen behoben und erneut gescannt werden.
Was passiert, wenn ich nicht konform bin?
Kartenorganisationen können monatliche Strafen zwischen $5.000 und $100.000 verhängen. Es ist möglich, dass Ihr Händlerkonto komplett gesperrt wird. Datenschutzverletzungen führen zudem zu forensischen Kosten, Anwaltsgebühren und potenziellen Klagen.
Brauche ich eine Compliance, wenn ich nur wenige Kreditkarten pro Monat akzeptiere?
Ja. PCI DSS gilt für alle Händler, die Karteninhaberdaten speichern, verarbeiten oder übertragen – unabhängig vom Transaktionsvolumen. Selbst eine einzige Transaktion verlangt Konformität.
