Sicherheitsstandard für die Aufbewahrung und
Weiterverarbeitung sensibler Karteninhaberdaten
Zum 01. April 2024 ändern sich die Anforderungen zum PCI Nachweis für Händler:innen.
Mit dem 27.03.2024 ergeben sich für Dich neue Prüfmaßnahmen aus dem verpflichtenden PCI 4.0 Standard. Diese basieren auf Deiner Verantwortung, um eine sichere Zahlungsabwicklung und die jederzeitige externe Erreichbarkeit des Webshops zu gewährleisten. Als Dein verlässlicher Partner rund um das Thema Payment möchten wir Dich rechtzeitig auf die Bedeutung dieser Änderung hinweisen und Dich bei den nächsten Schritten unterstützen.
Tipp: Wer sich bis zum 27.03.2024 noch einmal nach dem aktuellen PCI DSS 3.2.1 Standard rezertifizieren lässt, ist erst 12 Monate nach der Rezertifizierung, also ab 2025 zu einem vierteljährlichen ASV-Scan nach PCI DSS 4.0 verpflichtet.
Sicherheit im Zahlungsverkehr und der Schutz von Kreditkarteninformationen und Transaktionsdaten ist Voraussetzung für das Vertrauen der Verbraucher:innen und aller am Zahlungsprozess beteiligten Parteien. Um dieses Vertrauen zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei allen Kreditkartenorganisationen eine zentrale Rolle.
So haben sich die Kartenmarken Visa, Mastercard, American Express, Discover und JCB im Rahmen des sogenannten PCI Council auf einen gemeinsamen, einheitlichen Standard zum Schutz empfindlicher Kreditkartendaten verständigt.
Dieser international gültige Standard heißt Payment Card Industry Data Security Standard (PCI DSS) und schreibt den korrekten Umgang mit Kreditkartendaten für alle Marktteilnehmer:innen vor.
PCI 4.0 verpflichtet zu einer vierteljährlichen Durchführung von technischen Sicherheitsanalysen in Form von PCI ASV-Scans.
Ein ASV (Approved Scanning Vendor) ist ein vom PCI Security Standards Council zugelassenes Unternehmen, das Netzwerk-Scans auf externe Schwachstellen durchführt.
Ziel ist es, die Sicherheit im Online-Handel für alle Beteiligten weiterhin zu gewährleisten.
Dies ist keine exklusive Forderung der 1cs. Jeder Zahlungsdienstleister ist dazu verpflichtet diese Scanpflicht bei ihren Händler:innen durchzuführen.
Wenn Du Dich erneut zertifizierst, hast du ab der Zertifizierung
1 Jahr keine Verpflichtung zu den ASV-Scans.
Du sparst Dir noch 1 Jahr die Kosten (ca. 1000€ Gesamt) für die Scans pro Quartal.
Du bist auf dem neusten Stand der PCI Zertifizierung und die Daten Deiner Kundschaft sind bei Dir sicher.
Du sparst Dir für 1 Jahr Zeit, Aufwand und Kosten.
Wir haben die am häufigsten gestellten Fragen für Dich zusammengefasst.
Wenn Du andere Fragen hast, kannst Du Dich gerne an uns wenden.
Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI bzw. PCIDSS, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.
Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.
Diese Anforderungen werden laufend überprüft und an die aktuellen Herausforderungen im Umgang mit IT-Sicherheit angepasst.
Aktuelle Nachweise beruhen auf dem Standard nach PCI 3.2.1.
Mit dem 27.03.2024 ergeben sich für Dich neue Kontrollmaßnahmen aus dem verpflichtenden PCI 4.0 Standard. Diese basieren auf Deiner Verantwortung für die sichere Zahlungsabwicklung und die jederzeitige externe Erreichbarkeit des Webshops.
Diese Kontrollmaßnahmen verpflichten zu einer vierteljährlichen Durchführung von technischen Sicherheitsanalysen in Form von kostenpflichtigen PCI ASV-Scans. Ein ASV (Approved Scanning Vendor) ist ein vom PCI Security Standards Council zugelassenes Unternehmen, das Netzwerk-Scans auf externe Schwachstellen durchführt.
Scanpflichtig nach PCI DSS 4.0 sind Händler deren Systeme:
Du musst vierteljährlich die Durchführung von technischen Sicherheitsanalysen in Form von ASV-Scans, zum Nachweis der PCI DSS Compliance ab dem 01.04.2024 erbringen.
Ein Approved Scanning Vendor (ASV) ist ein vom PCI Security Standards Council zugelassenes Unternehmen zur Durchführung von Netzwerkscanservices für externe Schwachstellen.
Nein, die Scanpflicht gilt verpflichtend ab dem 01.04.2024.
Tipp: Wer sich aber bis zum 27.03.2024 erneut im aktuellen PCI DSS 3.2.1 Standard zertifiziert, ist erst ab 2025 zum vierteljährlichen ASV-Scan nach PCI DSS 4.0 verpflichtet.
Wer sich nicht bis zum 27.03.2024 noch einmal nach dem noch aktuellen PCI 3.2.1 Standard zertifizieren lässt, wird spätestens mit der nächsten fälligen Zertifizierung zum vierteljährlichen ASV-Scan nach PCI 4.0 verpflichtet.
Beispiel 1: Stand letzte PCI Zertifizierung: 30.08.2023 bedeutet, dass PCI 4.0 am 30.08.2024 fällig ist.
Beispiel 2: Stand letzte PCI Zertifizierung: 27.03.2024, dass PCI 4.0 am 27.03.2025 fällig ist.
Fehlende Nachweise bedeuten nicht nur ein erhöhtes Sicherheitsrisiko in Form von Kreditkartendiebstahl und Missbrauch, sondern auch den Verlust der Kreditkartenakzeptanz. Ebenfalls können Sie seitens der Kreditkartenorganisationen mit teils hohen Geldstrafen belegt werden.
Frankfurter Straße 233, Haus C1
63263 Neu-Isenburg
www.usd.de
PCI Competence Center
Telefon: +49 (0) 7805 91696 – 4856
E-Mail: support@pci.1cs.de
www.pci.1cs.de
Erreichbarkeit Montag bis Freitag:
08:00 – 18:00 Uhr
Okenstraße 7
77652 Offenburg
Telefon: +49 (0) 7805 91696 – 0
Fax: +49 (0) 7805 91696 – 4197
E-Mail: service@1cs.de
www.1cs.de
“Als eine der bekanntesten Opernhäuser der Welt steht die Semperoper Dresden für herausragende Kultur und Qualität.
Im Bereich der Zahlungs-abwicklung setzen wir deshalb auf die 1cs – für uns die perfekte Kombination aus persönlicher Betreuung und individuelle Beratung auf höchstem Niveau.”
Doris Schneider,
Leiterin Vertrieb und Service
“Wir setzen bei Fahrrad XXL auf den verlässlichen Service der First Cash Solution und fühlen uns hier bestens aufgehoben!”
Peter Hürter, Fahrrad XXL
“Die First Cash Solution ist stets zuverlässig und bietet einen
super Service durch ständige Bereitschaft uns zu helfen
sowie schnelle und kompetente Antworten auf all unsere Fragen.”
Thomas Quindt,
Projektleiter SOCCERBEAT GmbH
Gebühr der Kartenorganisationen:
Werden von den Kreditkartenorganisationen wie Visa oder Mastercard erhoben, sie werden auch Card Scheme Fees (CSF) genannt.
Bearbeitungsgebühr:
Wird von Deinem Zahlungsanbieter/Acquirer berechnet, in Deinem Fall von uns (1cs). Sie wird auch Acquirer Service Fee (ASF) genannt.
Interchange-Gebühr:
Wird von der kartenherausgebenden Bank bzw. Issuer in Rechnung gestellt. Sie wird auch Interchange Fee (ICF) genannt.
“Hier wird uns bei jedem Anliegen kompetent, unkompliziert und schnell geholfen! Daher können wir die First Cash Solution nur empfehlen.”
Sandra von Bargen, Hachez CHOCOVERSUM GmbH
„Die unkomplizierte schnelle Betreuung passt 100% zu uns und unserem Abrechnungssystem.“
Markus Tanger, Road House Paderborn