Ingenico ePayments ist ein nach dem Sicherheitsstandard im Zahlungsverkehr (Payment Card Industry Data Security Standard, PCI-DSS) zertifiziertes Unternehmen.

Bei PCI-DSS handelt es sich um einen Informationssicherheitsstandard, der von den großen Kreditkartenunternehmen (American Express, Discover, JCB, MasterCard und Visa) entwickelt wurde, um die Kontrollen rund um den Umgang mit Kreditkartendaten zu verbessern und Betrugsfälle zu reduzieren.

Für weitere Informationen klicken Sie bitte hier.

  • Ich bin ein kleiner Händler. Gilt PCI DSS auch für mich?

    PCI DSS gilt für alle in das Zahlungskarten-Processing involvierten juristischen Personen einschließlich Händler, Prozessoren, Acquirer, Emittenten und Serviceprovider sowie alle juristischen Personen, die Karteninhaberdaten (Cardholder Data, CHD) bzw. sensible Authentifizierungsdaten (Sensitive Authentication Data, SAD) speichern, verarbeiten oder übertragen.

    F: Gilt PCI DSS für eine juristische Person, die einen externen Serviceprovider (Third-Party Service Provider, TPSP) nutzt?

    Ja. Die Nutzung eines externen Serviceproviders (TPSP) entlastet die juristische Person nicht von der letztendlichen Verantwortung für die eigene PCI DSS-Compliance oder der Haftung und Verpflichtung, die Sicherheit für die Karteninhaberdaten (CHD) und die Kartendatenumgebung (Card Data Environ-ment, CDE) zu gewährleisten. Die Nutzung eines externen Serviceproviders kann jedoch die Risikoexposition verringern und den Aufwand für die Validierung und Aufrechterhaltung der PCI DSS-Compliance reduzieren.

  • Welchen Aufwand bedeutet PCI für einen Händler?

    Der Aufwand für den Händler ist wesentlich abhängig von einer Reihe Faktoren wie Händler-Level, Integrationsart, unterstützende Infrastruktur, Nutzung PCI DSS-zertifizierter Serviceprovider usw.

  • Was ist ein Selbstbewertungsfragebogen (SAQ)?

    Der PCI DSS SAQ ist ein Validierungstool für Händler und Serviceprovider, die nicht zu einer Datensicherheitsbewertung gemäß PCI DSS Security Assessment Procedures am eigenen Standort verpflichtet sind. Zweck des SAQ ist es, Organisationen bei der Selbsteinschätzung ihrer PCI DSS-Compliance behilflich zu sein. Sie als Händler können verpflichtet sein, ihn bei Ihrer Händlerbank vorzulegen. Wenden Sie sich bitte für Details zu Ihren besonderen Anforderungen im Zusammenhang mit der PCI DSS-Validierung an Ihren Acquirer. 

  • Wer ist zur Feststellung des Händler-Levels und des SAQ-Typs ermächtigt?

    Zur Festlegung des Händler-Levels ist der Acquirer des Händlers ermächtigt. Die Festlegung erfolgt auf Grundlage der Zahl von Transaktionen pro Jahr. Abhängig vom Händler-Level (2, 3 oder 4) ist der Händler möglicherweise berechtigt, einen Selbstbewertungsfragebogen (SAQ) zu verwenden. Der SAQ-Typ ist stark mit dem Zahlungsfluss verknüpft und ob der Händler Karteninhaberdaten wie beispielsweise die Kartennummer erfasst, verarbeitet, speichert oder überträgt.

  • Welcher SAQ-Typ ist für mich als Händler passend?

    Wenn ein Händler zur Verwendung von SAQs berechtigt ist, dann ist der SAQ-Typ wesentlich von der Integrationsart und davon abhängig, ob der Händler mit Kartennummern (PAN) und sensiblen Authentifizierungsdaten (z. B. CVC, Spur-2 usw.) in Berührung kommt.

    Für die Identifikation des SAQ-Typs sollte sich der Händler mit seiner Händlerbank beraten. Die Händlerbank stellt Einzelheiten zu Ihren besonderen Anforderungen im Zusammenhang mit der PCI DSS-Validierung bereit. Wenn Sie für den SAQ berechtigt sind und Zugriff auf Kartendaten wie PAN, CVC usw. haben, fordert Sie die Händlerbank in der Regel auf, den SAQ D-Fragebogen auszufüllen.

    Wenn Sie jedoch als Händler keinen Zugang zu Karteninhaberdaten haben und die Verarbeitung des Zahlungsflusses an einen PCI-zertifizierten Anbieter von Zahlungslösungen (Payment Service Provider, PSP) ausgelagert haben, dann wird die Händlerbank vermutlich SAQ A oder SAQ A-EP wählen.

    Weitere Informationen finden Sie in „Understanding SAQs for PCI DSS v3“.

  • SAQ A und SAQ A-EP im Vergleich

    Die Tabelle unten bietet einen Anwendbarkeitsvergleich zwischen SAQ A und SAQ A-EP.

     

    SAQ A

    Alle Funktionen bezüglich Karteninhaberdaten vollständig ausgelagert

    SAQ A-EP

    e-Commerce Zahlungskanal teilweise ausgelagert

    Gilt für:

    Fernabsatz-Händler (e-Commerce oder Bestellung per Post-/Telefon)* E-commerce-Händler

    Ausgelagerte Funktionen

    Die gesamte Akzeptanz und Verarbeitung von Zahlungen ist an PCI DSS-zertifizierte ex-terne Serviceprovider ausgela-gert Die gesamte Verarbeitung von Karteninhaberdaten ist an ei-nen PCI DSS-zertifizierten ex-ternen Zahlungsprozessor aus-gelagert

    Kontrolle über Karteninhaberdaten

    Die e-Commerce-Website des Händlers empfängt keine Kar-teninhaberdaten und hat keine direkte Kontrolle darüber, wie Karteninhaberdaten erfasst, verarbeitet, übertragen oder gespeichert werden Die e-Commerce-Website des Händlers empfängt keine Kar-teninhaberdaten, hat aber Kontrolle darüber, wie Konsumenten oder deren Karteninhaberdaten umgeleitet werden an einen PCI DSS-zertifizierten externen Zah-lungsprozessor

    Zahlungsseiten

    Die Gesamtheit aller Zahlungs-seiten, die dem Browser des Konsumenten zur Verfügung gestellt werden, hat ihren Ursprung direkt bei einem oder mehreren PCI DSS-zertifizierten externen Serviceprovidern Alle Elemente von Zahlungsseiten, die dem Browser des Konsumenten zur Verfügung gestellt werden, stammen entweder von der Website des Händlers oder von einem oder mehreren PCI DSS-zertifizierten externen Serviceprovidern

    Externe Compliance

    Der Händler hat sich vergewissert, dass alle externen Stellen, die in seinem Auftrag mit Akzeptanz, Speicherung, Verarbeitung bzw. Übertragung von Karteninhaberdaten befasst sind, PCI DSS-zertifiziert sind Der Händler hat sich vergewissert, dass alle externen Stellen, die in seinem Auftrag mit Speicherung, Verarbeitung bzw. Übertragung von Karteninhaberdaten befasst sind, PCI DSS-zertifiziert sind

    Händlerseitige Systeme

    Der Händler speichert, verarbeitet oder überträgt keine Karteninhaberdaten elektronisch auf seinen Systemen oder auf seinem Betriebsgelände, sondern hat diese Funktionen vollständig an externe Dienstleister ausgelagert

    Datenaufbewahrung

    Der Händler bewahrt Berichte und Belege mit Karteninhaberdaten nur in Papierform auf und diese Dokumente werden nicht in elektronischer Form entgegengenommen
  • Wo finde ich weitere Informationen zu PCI DSS?

    Weitere Informationen erhält ein Händler immer bei seiner Händlerbank.

    Alle PCI-relevanten Informationen finden Sie auch auf der PCI Security Standard council website.

Diese Website verwendet Cookies, um Ihnen die beste Nutzer-Erfahrung zu geben. Wenn Sie Cookies nicht akzeptieren möchten, empfehlen wir Ihnen, Ihre Cookie-Einstellungen zu ändern. Klicken Sie auf "Akzeptieren", um alle Cookies von dieser Website zu ermöglichen.

Cookie-einstellungen

Cookies werden verwendet, um die Webseite zu verbessern und Informationen anzubieten, die für Sie von Interesse sind.

Funktionsbezogene Cookies

Funktionsbezogene Cookies sind für das ordnungsgemäße Funktionieren der Webseite nötig. Diese Cookies können nicht deaktiviert werden.

Optimierte

Optimierungscookies ermöglichen es uns, die Nutzung der Webseite zu analysieren, damit wir unsere Webseite bewerten und verbessern können.
Dies ist der Standardwert.

Personalisierte

Personalisierte Cookies werden für Soziale Medien und die erweiterte Personalisierung verwendet. Sie ermöglichen es uns, Ihnen Informationen bezüglich Ihres Unternehmens zu zeigen.


Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern

Beispiel für eine unerlaubte Funktion

  • Personenbezogene Daten über Ihren Besuch speichern
  • anonymes Tracking über Google Analytics
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern
  • Anonymes Tracking über Google Analytics

Beispiel für eine unerlaubte Funktion

  • Personenbezogene Daten über Ihren Besuch speichern
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern
  • Anonymes Tracking über Google Analytics
  • Auf Ihre Interessen abgestimmte Inhalte bereitstellen
  • Auf Ihre Interessen abgestimmte Inserate bereitstellen
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unerlaubte Funktionen

  • Personenbezogene Daten speichern