Marktplätze sind regulatorisch komplexe Umgebungen aus PCI-Sicht: Die Plattform fungiert als Aggregator zwischen Käufern und mehreren Anbietern, und die Frage der Verantwortung für Kartendaten ist nicht trivial. Wer ist tatsächlich für die PCI DSS-Compliance verantwortlich – der Marktplatzbetreiber oder jeder einzelne Anbieter? Die Antwort hängt von der Zahlungsfluss-Architektur ab.
Die drei Marktplatz-Modelle und ihr PCI-Scope
Es gibt im Wesentlichen drei Marktplatz-Modelle aus Zahlungssicht:
- Zentralisiertes Modell: Der Marktplatz sammelt alle Zahlungen von Käufern und zahlt dann die Anbieter aus (Split Payment oder Batch-Überweisung). In diesem Fall hat der Marktplatzbetreiber den gesamten PCI-Scope: Er verwaltet die CDE, verarbeitet PANs und ist vollständig verantwortlich. Anbieter haben in diesem Modell keinen direkten Kontakt mit Kartendaten.
- Dezentralisiertes Modell: Jeder Anbieter verwaltet seine eigene Zahlungsverarbeitung direkt mit dem eigenen Acquirer. In diesem Fall ist jeder Anbieter autonom für seine PCI-Compliance verantwortlich, und der Marktplatzbetreiber hat einen sehr begrenzten PCI-Scope (möglicherweise SAQ A, wenn er kein Zahlungselement hostet).
- Hybrides Modell: Der Marktplatz leitet Zahlungen zwischen Käufern und Anbietern weiter, ohne PANs direkt zu berühren, über einen PSP mit Marktplatzfunktionen (wie Stripe Connect oder Adyen für Plattformen). In diesem Fall ist der Scope geteilt und vom Vertragsmodell mit dem PSP abhängig.
Geteilte Verantwortung: Plattform vs. Anbieter
Auch wenn der Marktplatz das zentralisierte Modell verwendet und die direkte PCI-Verantwortung übernimmt, entheben die Anbieter nicht vollständig von jeglicher Compliance-Pflicht. Wenn ein Anbieter auf einer Marktplatz-Oberfläche Zahlungen anbietet, muss er sicherstellen, dass seine Systeme (CRM, Order Management, Produktkatalog) keine Kartendaten von Käufern separat speichern oder verarbeiten. Wenn ein Anbieter eine eigene Zahlungsseite außerhalb des Marktplatzes betreibt, ist er vollständig verantwortlich für seine eigene CDE.
Für den Marktplatzbetreiber ist die Nutzung von Tokenisierung für alle von Käufern gesammelten Zahlungen eine strategische Entscheidung: Sie ermöglicht es, die PCI-Verantwortung zu zentralisieren und zu begrenzen, einen einheitlichen Audit-Prozess zu verwalten und den Anbietern nachzuweisen, dass ihre Käuferdaten in einer zertifizierten Umgebung sicher sind. Dies ist auch ein Wettbewerbsvorteil bei der Rekrutierung neuer Anbieter, die immer mehr regulatorische Reife von den von ihnen genutzten Plattformen fordern.
PCI Proxy EU für Marktplätze: ein zentralisierter Vault für alle Anbieter
PCI Proxy EU bietet eine native Tokenisierungslösung für Multi-Vendor-Marktplätze: Ein einziger Vault verwaltet Tokens für alle Zahlungsströme der Plattform, unabhängig davon, welcher Anbieter am Kauf beteiligt ist. Der Marktplatzbetreiber integriert einmalig die PCI Proxy EU-API und das Widget; alle Anbieter profitieren automatisch davon, ohne individuelle Integrationen.
Für Split-Payment-Anwendungsfälle ermöglicht der PCI Proxy EU-Token dem Marktplatz, dieselbe Kreditkartenzahlung eines Käufers auf mehrere Anbieter aufzuteilen, ohne dass der PAN die Systeme des Marktplatzes passiert. Dies ist besonders wertvoll für Plattformen, die Echtzeit-Auszahlungen an Anbieter, verzögerte Abrechnungen oder Rückerstattungsmanagement verwalten müssen, ohne die PCI-Komplexität zu erhöhen.
Häufig gestellte Fragen
Muss jeder Anbieter auf dem Marktplatz einzeln PCI-konform sein?
Dies hängt vom gewählten Zahlungsmodell ab. Im zentralisierten Modell, bei dem der Marktplatz alle Zahlungen direkt verwaltet, ist die Hauptverantwortung beim Marktplatzbetreiber. Anbieter müssen sicherstellen, dass sie keine Kartendaten über ihr eigenes System duplizieren oder verarbeiten. Im dezentralisierten Modell hingegen muss jeder Anbieter seine eigene PCI-Compliance verwalten.
Was passiert, wenn ein Anbieter eine Datenpanne erleidet und der Marktplatz Kundenkarten gespeichert hat?
Wenn die Datenpanne die Systeme des Anbieters betrifft, aber die Karten auf der zentralen Plattform des Marktplatzes gespeichert sind, hängt die Verantwortung vom Vertragsrahmen und den tatsächlich betroffenen Systemen ab. Im Allgemeinen führt eine Datenpanne auf einem verbundenen System, das Token verwaltet, zu keiner PCI-Datenpanne, wenn keine PANs in diesem System gespeichert waren. Dies ist ein weiterer Vorteil der zentralisierten Tokenisierung.
Unterstützt PCI Proxy EU die PSD2-Anforderungen für europäische Marktplätze?
Ja. PCI Proxy EU ist in Europa tätig und berücksichtigt die regulatorischen Anforderungen, die für europäische Zahlungsdienstleister und Marktplätze gelten, einschließlich PSD2-bezogener Anforderungen für die Datenlokalisierung und Sicherheitskontrollen. Daten werden in der EU gespeichert, mit vollständiger DSGVO-Konformität.
Betreiben Sie einen Multi-Vendor-Marktplatz und möchten PCI DSS-Compliance für alle Zahlungsströme zentralisieren? Entdecken Sie PCI Proxy EU.