PCI-Konformität sicherstellen

Der Payment Card Industry Security Standards Council (Rat für Sicherheitsstandards der Zahlungskartenindustrie) legt Sicherheitsstandards fest, um Kreditkartendaten zu schützen. Diese werden Payment Card Industry Data Security Standards (abgekürzt mit PCI-DSS oder PCI) genannt. Das bedeutet, dass Unternehmen, die Kreditkarteninformationen übermitteln, verarbeiten oder speichern, diese PCI befolgen sollen.

Mit Hosting können Sie Ihre Internetpräsenz und Ihren Produktkatalog einrichten. Anschließend können Sie mit einem Drittanbieter zusammenarbeiten, damit dieser Zahlungen in Ihrem Namen verarbeitet, damit Kreditkarten nicht auf Ihrem Server gespeichert werden (z. B. PayPal Checkout, Square Online Checkout und Stripe Checkout). Achten Sie auf jegliche zusätzlichen Anforderungen, damit Ihr Unternehmen PCI-konform bleibt.

Falls Sie Zahlungen lieber direkt auf Ihrer Website akzeptieren möchten, bitten wir Ihnen PCI-zertifizierte Produkte, etwa unser Managed WordPress E-Commerce Hosting, Online-Shop und Online-Termine. PCI-Konformität wird gemeinsam erreicht. Wenn Sie also eine unserer PCI-zertifizierten Lösungen verwenden, entwerfen wir Prozesse und Systeme, um die Kreditkartendaten Ihrer Kunden zu schützen, während Sie Ihr Konto schützen müssen.

Online-Shop und Online-Termine

Zahlungen über den Online-Shop und Online-Termine sind bei Dritten integriert, die Kreditkartendaten in ihren sicheren Umgebungen verarbeiten. Diese Produkte verwenden einen kleinen Code auf Ihrer Website, damit Ihre Kunden ihre Kreditkartendaten direkt auf deren Website eingeben können. Somit können Sie PCI-Konformität gewährleisten, indem Sie Ihr Konto mithilfe weniger Schritte schützen:

  • Benutzerverwaltung
    • Weisen Sie immer eine einmalige ID zu und verwenden Sie sichere Passwörter.
    • Verwenden Sie keine Gruppen-, gemeinsame oder allgemeine IDs bzw. Passwörter.
    • Entfernen Sie Benutzer, falls diese keinen Zugriff mehr benötigen.
  • Unterlagen in Papierform (nicht digital)
    • Falls Sie Kreditkartendaten auf Papier erfassen, müssen Sie den Zugang zu diesen Informationen kontrollieren und sie zerstören, sobald sie nicht mehr benötigt werden.
  • Konformität des Service-Providers
    • Falls Sie Dienstleistungen in Anspruch nehmen, um Ihre Papierunterlagen oder Ihr Konto zu verwalten, müssen Sie sicherstellen, dass der Service-Provider sich zu seiner Verantwortung bekannt hat, die Kreditkartendaten sicher zu bearbeiten, und Sie zuversichtlich sind, dass er seiner Verpflichtung nachkommt.
  • Vorfallsreaktionsplan
    • Stellen Sie sicher, dass Sie über eine Liste verfügen, in der aufgeführt ist, an wen Sie sich wenden müssen und wie Sie die Kundenkommunikation handhaben, falls es zu einer Datenschutzverletzung kommt.
  • Legen Sie den PCI-Selbstbewertungsfragebogen A (PCI SAQ-A) Ihrem Verarbeiter vor (Stripe, Square oder PayPal).

Hinweis: Falls Sie Zahlungen über das Telefon akzeptieren, können für Sie zusätzliche Anforderungen gelten, um Ihre von Ihren Callcenter-Mitarbeitern verwendeten Telefonsysteme und Computer zu sichern.

Managed WordPress mit WooCommerce

Zahlungen über Managed WordPress können über das WooCommerce-Plugin implementiert werden, das bei Dritten integriert wird, um Kreditkarten in ihren sicheren Umgebungen zu verarbeiten. Dieses Plugin verwendet einen kleinen Code auf Ihrer Website, damit Ihre Kunden ihre Kreditkartendaten direkt auf deren Website eingeben können. Da Sie das in Ihrem Konto installierte Plugin kontrollieren, sind für eine PCI-Konformität einige zusätzliche Schritte erforderlich:

  • Zahlungsimplementierung
    • Installieren Sie das WooCommerce-Plugin nur für Zahlungen. Auch wenn womöglich andere Plugins verfügbar sind, zertifizieren wir nur das WooCommerce-Plugin.
    • Fügen Sie keine Funktionalität bzw. keinen Code hinzu, die Kreditkarteninformationen bearbeiten. Wir können keinen individuellen Zahlungsprozess zertifizieren, der einem Server hinzugefügt wird.
    • Halten Sie Ihre Plugins auf dem neuesten Stand (Prozessaktualisierungen innerhalb von 30 Tagen).
  • Benutzerverwaltung
    • Weisen Sie immer eine einmalige ID zu und verwenden Sie sichere Passwörter.
    • Verwenden Sie keine Gruppen-, gemeinsame oder allgemeine IDs bzw. Passwörter.
    • Entfernen Sie Benutzer, falls diese keinen Zugriff mehr benötigen.
  • Unterlagen in Papierform (nicht digital)
    • Falls Sie Kreditkartendaten auf Papier erfassen, müssen Sie den Zugang zu diesen Informationen kontrollieren und sie zerstören, sobald sie nicht mehr benötigt werden.
  • Konformität des Service-Providers
    • Falls Sie Dienstleistungen in Anspruch nehmen, um Ihre Papierunterlagen oder Ihr Konto zu verwalten, müssen Sie sicherstellen, dass der Service-Provider sich zu seiner Verantwortung bekannt hat, die Kreditkartendaten sicher zu bearbeiten, und Sie zuversichtlich sind, dass er seiner Verpflichtung nachkommt.
  • Vorfallsreaktionsplan
    • Stellen Sie sicher, dass Sie über eine Liste verfügen, in der aufgeführt ist, an wen Sie sich wenden müssen und wie Sie die Kundenkommunikation handhaben, falls es zu einer Datenschutzverletzung kommt.
  • Legen Sie den PCI-Selbstbewertungsfragebogen A (PCI SAQ-A) Ihrem Verarbeiter vor (WooCommerce-Zahlungen, Stripe, PayPal, Square, Klarna oder PayFast).

Hinweis: Falls Sie Zahlungen über das Telefon akzeptieren, können für Sie zusätzliche Anforderungen gelten, um Ihre von Ihren Callcenter-Mitarbeitern verwendeten Telefonsysteme und Computer zu sichern.

Bei weiteren Fragen arbeiten Sie bitte mit Ihrer Bank zusammen oder wenden Sie sich an einen Qualified Security Assessor (QSA).

Weitere Informationen


War dieser Artikel hilfreich?
Vielen Dank für deine Vorschläge. Um mit einem Mitarbeiter unsere Kundenservice zu sprechen, nutze bitte die Telefonnummer des Support oder die Chat-Option oben.
Gern geschehen! Können wir sonst noch etwas für Sie tun?
Tut uns leid. Teile uns mit, was unklar war, und warum diese Lösung nicht zur Behebung des Problems geführt hat.