Acquirer PCI Compliance betrifft nicht nur die Bank: Sie betrifft jeden Händler, der einen Akzeptanzvertrag besitzt. Internationale Kartennetzwerke (Visa, Mastercard) erlegen PCI DSS den Acquirern auf, die es wiederum über den Händlervertrag den Händlern auferlegen. Das Verständnis dieser Verantwortungskette hilft Händlern zu wissen, wer sie überwacht, was sie riskieren und wie sie ihre Exponierung reduzieren können.
Die PCI-Verantwortungskette: Netzwerke, Acquirer und Händler
An der Spitze der Kette stehen die internationalen Kartennetzwerke – vor allem Visa und Mastercard – die PCI DSS als vertragliche Anforderung für alle Teilnehmer in ihrem Netzwerk definiert haben. Die Netzwerke haben keine direkte Beziehung zu den meisten Händlern: Ihr Durchsetzungskanal verläuft über Acquirer (Banken oder Zahlungsinstitute, die es Händlern ermöglichen, Karten zu akzeptieren).
Der Acquirer unterzeichnet einen direkten Vertrag mit dem Netzwerk, in dem er sich verpflichtet, sicherzustellen, dass seine Händler PCI DSS einhalten. Wenn ein vom Acquirer verwalteter Händler eine Datenpanne erleidet oder als nicht konform befunden wird, verhängt das Netzwerk Strafen gegen den Acquirer, nicht direkt gegen den Händler. Es ist der Acquirer, der dann die Strafen und Kosten über den Händlervertrag an den Händler weitergibt. Dieser Mechanismus macht den Acquirer zum primären Hüter der PCI-Compliance für seine Händler.
Die Pflichten des Acquirers gegenüber dem Händler
Die PCI DSS Acquirer-Verpflichtungen gegenüber Händlern umfassen: den Händler über die PCI DSS-Anforderungen zu informieren, die für sein Transaktionslevel gelten; Compliance-Dokumentation zu sammeln und zu überprüfen (SAQ, AOC, ASV-Scan-Ergebnisse); Gebühren oder Strafen bei Nichteinhaltung anzuwenden; und Händler an die Netzwerke zu melden, die Dokumentation nicht innerhalb der vorgeschriebenen Fristen einreichen.
Im Falle einer bestätigten Datenpanne ist der Acquirer verpflichtet, die Netzwerke sofort zu benachrichtigen und die forensische Untersuchung zu koordinieren. Forensische Kosten und von den Netzwerken verhängte Strafen werden zunächst vom Acquirer getragen, der sie dann über Vertragsklauseln vom Händler zurückfordert. In einigen Fällen kann der Acquirer dem Händler eine erhöhte Reserve (ein Prozentsatz der zurückgehaltenen Transaktionen als Sicherheit) oder den Entzug der Händler-ID auferlegen.
Wie Tokenisierung Ihre Beziehung zur Bank verändert
Ein Händler, der PCI Proxy EU für das Kartendatenmanagement verwendet, präsentiert sich dem Acquirer mit einem deutlich anderen Risikoprofil als ein Händler, der PANs intern speichert. Der angegebene Perimeter ist auf ein Minimum reduziert: Der Händler kann ein SAQ A (22 Anforderungen) statt eines SAQ D (über 300 Anforderungen) einreichen, und das DatenflussDiagramm zeigt, dass die PAN nie seine Systeme passiert.
Dies übersetzt sich in konkrete Vorteile in der Acquirer-Beziehung: schnelleres Onboarding, weniger Prüfung während der jährlichen Überprüfungszyklen und in einigen Fällen bessere Vertragsbedingungen, da der Händler ein reifes Risikomanagement demonstriert. Im Falle einer Datenpanne auf anderen Händlersystemen bedeutet das Fehlen von PANs in internen Systemen, dass die Datenpanne nicht automatisch zu einer PCI-Datenpanne wird, mit drastisch reduziertem Einfluss auf die Verpflichtungen gegenüber dem Acquirer.
Häufig gestellte Fragen
Ist der Acquirer verantwortlich, wenn der Händler nicht konform ist?
Ja, gegenüber den Netzwerken. Wenn ein vom Acquirer verwalteter Händler nicht PCI DSS-konform ist und eine Datenpanne erleidet, verhängt das Netzwerk Strafen gegen den Acquirer, der sie dann über Händlervertragsklauseln an den Händler weitergibt. Dieser Mechanismus veranlasst den Acquirer stark, die Compliance seiner Händler zu überwachen und bei Nichteinhaltung zu handeln.
Kann ich einen Acquirer basierend auf seiner PCI-Politik auswählen?
Die PCI-Politiken der Acquirer variieren in Bezug auf Überwachungsfrequenz, Schwere der Strafen bei Nichteinhaltung und den Händlern im Compliance-Prozess angebotene Unterstützung. Es ist legitim, diese Aspekte bei der Wahl eines Acquirers zu berücksichtigen, insbesondere in frühen Onboarding-Phasen. Einige Acquirer bieten Self-Assessment-Tools integriert in das Händlerportal an, was den administrativen Aufwand des jährlichen Prozesses reduziert.
Wer bestraft mich bei Nichteinhaltung: der Acquirer oder Visa/Mastercard?
Netzwerke bestrafen direkt den Acquirer, nicht den Händler. Es ist der Acquirer, der dann Strafen über Händlervertragsklauseln auf den Händler anwendet. Netzwerkstrafen gegen den Acquirer können monatlich anfallen und sich akkumulieren, bis die Nichteinhaltung behoben ist. In schwerwiegenden Fällen können Netzwerke die Akzeptanzlizenz des Acquirers für einen bestimmten Händler oder für Händlerkategorien widerrufen.
Möchten Sie die PCI-Beziehung mit Ihrem Acquirer vereinfachen, indem Sie einen reduzierten Perimeter präsentieren? PCI Proxy EU hilft Ihnen, die richtige Dokumentation aufzubauen. Entdecken Sie PCI Proxy EU.