PCI DSS
Zertifizierung
Was ist der Payment Card
Industry (PCI) Data Security Standard (DSS)?
Sicherheit im Zahlungsverkehr und der Schutz von Kreditkarteninformationen und Transaktionsdaten ist Voraussetzung für das Vertrauen der Verbraucher:innen und aller am Zahlungsprozess beteiligten Parteien. Um dieses Vertrauen zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei allen Kreditkartenorganisationen eine zentrale Rolle.
So haben sich die Kartenmarken Visa, Mastercard, American Express, Discover und JCB im Rahmen des sogenannten PCI Council auf einen gemeinsamen, einheitlichen Standard zum Schutz empfindlicher Kreditkartendaten verständigt.
Dieser international gültige Standard heißt Payment Card Industry Data Security Standard (PCI DSS) und schreibt den korrekten Umgang mit Kreditkartendaten für alle Marktteilnehmer:innen vor.
Warum muss ich die PCI-Zertifizierung durchführen?
Jedes Unternehmen, das Kreditkartendaten verarbeitet, speichert und/oder übermittelt, ist verpflichtet sich jährlich nach PCI DSS Standard zu zertifizieren.
Die Einhaltung der PCI DSS Sicherheitsvorgaben dienen nicht nur dem Schutz Deiner Kund:innen, sondern auch dem Schutz Deines Unternehmens. Bei Nichterbringung des PCI DSS Nachweises haftest Du im Fall eines Diebstahls von Kartendaten für alle Schäden und Verluste, die sich daraus ergeben. Darüber hinaus haftest Du unter anderem für:
- Rechtskosten
- Kosten für den Austausch von Kreditkarten
- Kosten für forensische Untersuchungen
Zusätzlich können Dir Strafzahlungen, sowie weitreichende Sicherheitsmaßnahmen und -prüfungen bis hin zum Akzeptanzentzug von den Kreditkartenorganisationen auferlegt werden.
Was sind meine nächsten Schritte?
1. Logge Dich ein
Gehe auf die 1cs PCI DSS Plattform unter www.pci.1cs.de und logge Dich mit den Zugangsdaten ein, die Du per E-Mail erhalten haben.
2. Ermittle Deinen SAQ (Self-Assessment Questionnaire = Selbstbeurteilungsfragebogen)
Starte den SAQ-Auswahl-Assistenten. Mit Hilfe von gezielten Fragen zur Akzeptanz und Abwicklung von Kreditkartendaten wird der für Dein Unternehmen passende SAQ ermittelt.
3. Fülle den SAQ aus
Mit dem ausgefüllten Selbstbeurteilungsbogen (SAQ) wird die Einhaltung der Sicherheitsanforderungen des PCI DSS nachgewiesen.
4. Compliance-Siegel herunterladen
Lade Dir nach Deiner Zertifizierung das Compliance-Siegel für Deinen Webshop herunter und zeige Deinen Kund:innen so, dass ihre Daten bei Dir gut aufgehoben sind.
Wir sind erfolgreich Re-Zertifiziert!
Jährliche Überprüfungen durch das unabhängige Institut usd AG, vierteljährliche Software- und Schnittstellentests und ständige Kontrolle aller Systeme – Mit diesen und weiteren Maßnahmen haben wir auch dieses Jahr wieder erfolgreich die Zertifizierung nach PCI DSS erhalten.
Deine vier Vorteile durch eine erfolgreiche Zertifizierung
Du erhöhst die Datensicherheit und optimierst den Schutz vor Angriffen und Missbrauch aus dem Internet.
Schutz vor finanziellen Verlusten durch mögliche Schadenersatzforderungen und Strafzahlungen.
Das Vertrauen Deiner Kundschaft steigern.
Du erhältst ein Prüfsiegel zur Einbindung auf Deiner Website.
Die wichtigsten Fragen und Antworten
zu Deiner PCI-Zertifizierung
Wissenswertes zur PCI Zertifizierung
Support & Kontakt
Wie weise ich meine erfolgreiche PCI-Zertifizierung nach?
Deine PCI DSS Konformität (Compliance) bestätigst Du durch einen vollständig ausgefüllten Selbstbeurteilungsfragebogen. Da je nach Abwicklung organisatorische, prozessuale und technische Prozesse zu prüfen und zu beurteilen sind, wird empfohlen, zur Ermittlung und Beantwortung des Fragebogens die mit dem Abwicklungsprozess betrauten Mitarbeiter:in einzubeziehen. Die Compliance muss einmal jährlich nachgewiesen werden. Das gilt auch, wenn sich an Deinen Prozessen zur Zahlungskartenabwicklung zwischenzeitlich nichts verändert hat.
Wo kann ich mich zertifizieren?
Um den Nachweis softwareunterstützt erbringen zu können, stellen wir kostenlos die 1cs PCI DSS Plattform zur Verfügung. Hier wirst Du Schritt für Schritt zur PCI DSS Compliance geführt. Die Plattform unterstützt Dich bei der Ermittlung und Beantwortung des für Dein Unternehmen gültigen Selbstbeurteilungsfragebogens. Nach erfolgtem Nachweis kann die Bescheinigung der PCI DSS Compliance und das Prüfsiegel unseres Sicherheitspartners usd AG heruntergeladen werden und in Deine Website integriert werden. Dies zeigt Deiner Kundschaft, dass Sicherheit der Kreditkartenzahlungen bei Deinem Unternehmen ernst genommen wird.
Wann muss ich mich zertifizieren?
Mit Vertragsbeginn, noch vor der ersten Transaktion, erhältst Du von unserem PCI Competence Center per E-Mail die Aufforderung zur Zertifizierung.
Was hat die Volksbank eG – die Gestalterbank mit meiner PCI-Zertifizierung zu tun?
Die First Cash Solution ist ein Tochterunternehmen der Volksbank eG – Die Gestalterbank, daher ist unser PCI-DSS-Zertifikat auf die Volksbank eG – Die Gestalterbank ausgestellt.
Wieso werde ich an die PCI-Zertifizierung erinnert, obwohl ich diese bereits durchgeführt habe?
Die Zertifizierung ist jährlich erforderlich.
Wird ein neuer Akzeptanzkanal für Kreditkartenzahlungen (z.B. Terminals, Onlineshop, Pay-by-Link) aufgeschaltet, ist hierfür eine erneute Zertifizierung erforderlich. Außerdem kann es sein, dass Du eine Erinnerung erhältst, wenn die Zertifizierung noch unvollständig ist. Bitte überprüfe, ob Du alle Fragebögen ausgefüllt hast.
Warum werde ich zur Zertifizierung für mein POS-Terminal aufgefordert?
Entweder führst Du am POS-Terminal manuelle Buchungen (Eingabe der Kreditkartendaten ohne physische Karte vor Ort) durch, oder Du nutzt eine Lösung über unser Online-Bezahlsystem (eCommerce, MoTo, Pay-by-Link). In diesen Fällen muss die Zertifizierung für alle Kanäle durchgeführt werden
Wo finde ich die technischen Daten zum Terminal, die ich bei der Zertifizierung angeben muss?
Schreibe uns bitte eine E-Mail an service@1cs.de mit der Angabe Deiner Terminal ID (TID) oder Kundennummer. Wir schicken Dir dann die benötigten Informationen.
Wann bin ich zum Schwachstellenscan verpflichtet?
Der Schwachstellenscan betrifft nur wenige Händler:innen, die gesondert informiert werden. Die regelmäßigen, quartalsweisen Schwachstellenscans sind notwendig, um Sicherheitslücken zu identifizieren und zu beheben. Dies dient der Sicherheit aller Beteiligten.
Was passiert, wenn ich die Zertifizierung nicht durchführe?
Gemäß unserem Preis- und Leistungsverzeichnis berechnen wir eine Non Compliance Gebühr für Händler:innen, die die Zertifizierung nicht durchführen. Als Zahlungsdienstleister müssen wir selbst eine Strafgebühr bezahlen, wenn unsere Kund:innen die Zertifizierung nicht durchgeführt haben, da sich daraus ein erhöhtes Risiko für alle Beteiligten ergibt.
Ich habe mein Passwort für die PCI DSS Plattform vergessen. Was muss ich tun?
Das Zurücksetzen des Passworts ist selbstständig auf der PCI DSS Plattform: https://pci.1cs.de/user/login über den Button „Passwort zurücksetzen“ möglich. Dort bitte die hinterlegte E-Mail-Adresse eingeben. Das neue Passwort wird Dir per E-Mail zugeschickt.
Unser Ansprechpartner für das Thema PCI hat sich geändert, was soll ich tun?
Schreibe uns eine E-Mail an service@1cs.de mit der Angabe deiner Terminal ID (TID) oder Kundennummer und den Kontaktdaten des neuen Ansprechpartners. Es reicht nicht aus, die E-Mail-Adresse im PCI DSS Portal selbstständig zu ändern.
Ich habe weitere Fragen. An wen kann ich mich wenden?
PCI Competence Center
Telefon: +49 (0) 7805 91696 – 4856
E-Mail: support@pci.1cs.de
www.pci.1cs.de
Erreichbarkeit Montag bis Freitag:
08:00 – 18:00 Uhr
Bitte beachte, dass wir als Dein Zahlungsdienstleister bei der PCI DSS Zertifizierung nicht unterstützen dürfen. Das PCI Competence Center ist hier die erste Anlaufstelle. Grundsätzlich ist die Selbstauskunft von Dir selbst auszufüllen.
Hier findest Du ein ausführlicheres FAQ auf unserer PCI-Plattform mit weiteren Fragen.
Link: pci.1cs.de/content/faq
