Was ist PCI DSS?
PCI DSS ist die Abkürzung für den Payment Card Industry Data Security Standard. Im Gegensatz zu GDPR ist der PCI DSS kein Gesetz, sondern ein Standard, der von einer unabhängigen, von großen Zahlungskartenmarken geschaffenen Einheit definiert und gepflegt wird. Wann immer Sie Kreditkarten von Marken wie VISA und MasterCard akzeptieren wollen, müssen Sie diesen Sicherheitsstandard einhalten. Der PCI DSS kann als eine Sammlung von Best Practices oder Regeln für den Umgang mit den sensiblen Zahlungskartendaten angesehen werden, die Ihnen von Ihren Gästen anvertraut wurden, um Datenmissbrauch und Betrug zu verhindern.
Muss ich konform sein?
Wann immer Sie einen Vertrag mit einem Zahlungsdienstleister zur Verarbeitung von Kreditkarten vor Ort oder online abschließen, müssen Sie Ihre Compliance nachweisen. Je nach Zahlungsanbieter oder erwerbender Bank müssen Sie entweder einen Selbstbefragungsbogen ausfüllen oder sogar ein Vor-Ort-Audit mit einem Qualified Security Assessor (QSA) durchführen.
Was kann passieren, wenn ich nicht PCI DSS-konform bin?
Wenn Ihnen anvertraute Zahlungskartendaten durchsickern und missbraucht werden, werden die Zahlungsmarken die erwerbende Bank bestrafen. Diese Geldbußen können an Sie als Händler weitergegeben werden, wenn Sie sich als nicht konform erweisen. Sie können zwischen 5.000 EUR und 100.000 EUR für jeden Monat liegen, in dem Sie nicht konform sind, und im schlimmsten Fall könnten Sie das Recht verlieren, Zahlungskarten der großen Zahlungskartenmarken zu akzeptieren. Darüber hinaus könnten Sie mit rechtlichen Problemen und einer Schädigung Ihres Rufes konfrontiert werden. Am besten ist es also, die Regeln des PCI DSS als Leitfaden zu sehen, der Ihnen hilft, Ihr Geschäft zu sichern.
PCI-Konformität mit apaleo
apaleo ist Dienstleister für unsere Kunden und wickelt die Zahlung für sie ab. Deshalb ist es für uns sehr wichtig, dass wir PCI DSS-konform sind. Wir führen jedes Jahr Vor-Ort-Audits durch, um die Einhaltung des PCI DSS nachzuweisen. Unser QSA Adsigo prüft die technische Umsetzung, um mögliche Risiken zu erkennen, wie sensible Daten von Karteninhabern durchsickern können, und überprüft auch unsere Sicherheitsrichtlinien und -prozesse. Wenn die Konformität validiert werden kann, erhalten wir eine Konformitätsbescheinigung (AOC), die Kunden hier herunterladen können. Mit diesem AOC und der Anerkennung der Verantwortung aus dem Vertrag, den Sie mit apaleo haben, können Hoteliers die Anforderung 12.8 des PCI DSS an das Service Provider Management problemlos erfüllen.
Pflichten des Kunden
Mit apaleo können Sie Ihr Unternehmen gemäß PCI DSS betreiben, aber es gibt immer noch Dinge, um die Sie sich kümmern müssen. Ausführliche Informationen darüber, welche Anforderungen Sie erfüllen müssen, finden Sie auf der offiziellen Website des PCI Security Standards Council.
E-Commerce und Versandhandel / Telefonische Bestellung (MoTo)
Wenn Sie Karten auf Ihrer Website und anderen Online-Kanälen wie booking.com akzeptieren oder Kreditkarten für Post- und Telefonbestellungen akzeptieren, dann beziehen sich die PCI-Anforderungen auf die Beschränkung des Benutzerzugriffs auf Karteninhaberdaten, die Sicherstellung der Compliance Ihrer Dienstanbieter und die Aufrechterhaltung eines Incident Response Plans bei max. Dies hängt auch von Ihrer Bank oder Ihrem Zahlungsdienstleister ab.
Kartenpräsente mit modernen IP-basierten Kartenterminals
Wenn Sie Zahlungskarten auch vor Ort über ein modernes IP-basiertes Terminal verarbeiten, das über das Internet mit dem Payment Service Provider verbunden ist, sind Sie zusätzlichen Anforderungen ausgesetzt. Die meisten Banken oder Zahlungsdienstleister verpflichten Sie jedoch nur dann zu diesem hohen Standard, wenn Sie ein hohes Volumen an Terminaltransaktionen abwickeln. Adyen macht das derzeit nur, wenn Sie mehr als 1 Mio. Transaktionen verarbeiten.
Dann müssen Sie das Netzwerk der IP-Terminals klar von den anderen Netzwerken in Ihrem Hotel trennen und über Firewall-Regeln verfügen, die sicherstellen, dass die Terminals nur über sicher verschlüsselte Verbindungen mit dem Payment Service Provider kommunizieren können. Alle an das Netzwerk der IP-Terminals angeschlossenen Systeme gehören zur sogenannten Kartendatenumgebung (CDE). Nur autorisierte Personen sollten Zugang zu diesen Systemen haben, was für Sie auch einen höheren Aufwand an Richtlinien und Dokumentation bedeutet. Darüber hinaus müssen Sie vierteljährlich einen externen Schwachstellen-Scan durchführen.