Physische Geschäfte stehen vor einem weniger bekannten Problem als E-Commerce-Händler: PCI DSS gilt auch für die Verarbeitung von Kartendaten an POS-Terminals, auch wenn keine einzige Karte online verarbeitet wird. Einzelhändler, die Kunden im Laden akzeptieren, Reservierungen per Telefon entgegennehmen oder Treueprogramme führen, haben Datenflusse, die die CDE in ihr Netz einbeziehen können. Dieser Artikel erklärt, welche Pflichten für physische Geschäfte wirklich gelten und wie man den Compliance-Scope radikal reduziert.
Wie PCI DSS im physischen Einzelhandel funktioniert
Ein Einzelhändler mit Ladengeschäften glaubt oft, sein PCI DSS-Problem sei einfacher als das eines Online-Händlers: Man hat ein POS-Terminal, der Kunde steckt die Karte ein, das Gerät kommuniziert mit dem Acquirer und fertig. In Wirklichkeit ist die Situation komplexer. Das POS-Terminal ist nur der erste Punkt des Datenflusses: Hinter ihm steht oft eine Kasse, die mit einem internen Netzwerk verbunden ist, das sich mit Backoffice, Lagerverwaltung und Buchhaltungssystemen integriert. Wenn das interne Netzwerk schlecht segmentiert ist, kann das gesamte Filialnetz Teil der CDE werden.
Die PCI DSS-Anforderungen für Einzelhändler hängen davon ab, wie das POS-Terminal konfiguriert ist und wie das interne Netzwerk aufgebaut ist. Händler, die ausschließlich genehmigte POS-Terminals (SCRP-Listed Devices) verwenden und keine Kartendaten in ihren Systemen speichern oder verarbeiten, können sich möglicherweise für SAQ B oder SAQ B-IP qualifizieren: Selbstbewertungsfragebögen mit deutlich weniger Kontrollen als SAQ D. Der Schlüssel liegt im Verständnis, welche Systeme tatsächlich Kartendaten berühren.
Besondere Risiken: Skimming und POS-Manipulation
Physische Geschäfte sehen sich spezifischen Risiken gegenüber, die Online-Händlern fremd sind: Skimming (Anbringen eines Datenlesegeräts am POS-Terminal), Shoulder-Surfing (PIN-Beobachtung) und physische Manipulation des Kassenbereichs. PCI DSS v4 hat die Anforderungen im Zusammenhang mit physischer Gerätesicherheit verstärkt: Anforderung 9.5 verlangt eine formelle Richtlinie für die physische Sicherung von POS-Terminals, einschließlich regelmäßiger Inspektionen auf Anzeichen von Manipulation.
Neue Anforderungen in PCI DSS v4 umfassen auch die Schulung des Personals, um Manipulationsversuche an Geräten zu erkennen, und die Führung eines Geräte-Inventars mit Seriennummern. Diese Anforderungen sind für Einzelhändler mit vielen Filialen operativ anspruchsvoll, können aber durch geeignete Geräteverwaltungssysteme standardisiert werden.
Telefonische Reservierungen und Call-Center-Risiken
Für Einzelhändler, die Kartendaten telefonisch entgegennehmen (Telefonverkauf, Call-Center-Reservierungen), ist die Compliance-Situation komplexer. Der Mitarbeiter, der die Karte hört und in ein System eingibt, berührt Kartendaten und macht das System CDE-pflichtig. PCI DSS v4 hat Anforderung 3.3.2 hinzugefügt, die explizit die elektronische Aufzeichnung sensibler Authentifizierungsdaten (vollständige Kartennummern, CVV, PIN) vor Autorisierungsabschluss untersagt.
Tokenisierung löst dieses Problem: Wenn der Mitarbeiter statt die Kartennummer in ein internes System zu tippen, einen sicheren Link oder ein Bezahlterminal-Widget verwendet, das die Karte direkt in einen Token konvertiert, berühren interne Systeme niemals PANs. Dieses Muster ist als MOTO-Tokenisierung (Mail Order / Telephone Order) bekannt und ist für viele physische Händler mit gemischten Kanälen die effektivste Methode zur CDE-Reduzierung.
Tokenisierung im physischen Einzelhandel: Wann es sinnvoll ist
Für einen reinen Einzelhändler mit ausschließlich POS-Transaktionen ist Tokenisierung am wertvollsten, wenn:
- der Händler auch telefonisch oder online Karten akzeptiert (gemischte Kanäle)
- Kartendaten in Backoffice-Systemen für Rechnungen, Erstattungen oder Treueprogramme gespeichert werden
- CRM- oder ERP-Systeme mit dem Kassensystem kommunizieren und Transaktionsdaten enthalten
- Mitarbeiter manuell Kreditkartennummern für Telefonbestellungen eingeben
In diesen Fällen eliminiert Tokenisierung die PAN aus internen Systemen und reduziert die CDE auf die Tokenisierungsschicht, die von PCI Proxy EU Level-1-zertifiziert ist. Das interne Netzwerk, Kassensysteme und CRM verlassen den PCI DSS-Scope.
Häufig gestellte Fragen
Gilt PCI DSS auch für einen kleinen Laden mit einem einzigen POS-Terminal?
Ja, PCI DSS gilt für jeden Händler, der Zahlungskartentransaktionen durchführt, unabhängig von Größe oder Anzahl der Terminals. Der SAQ-Typ hängt davon ab, wie Karten akzeptiert werden: Ein Händler mit einem einzigen P2PE-validierten Terminal ohne eigene Kartendaten kann SAQ P2PE ausfüllen, die nur 35 Fragen umfasst. Ein Händler mit einem nicht validierten Terminal und internen Speichersystemen hat einen deutlich komplexeren Scope.
Wer ist verantwortlich, wenn das POS-Terminal kompromittiert wird?
Die Verantwortung teilt sich zwischen dem POS-Gerätehersteller, dem Zahlungsdienstleister und dem Händler auf. Der Händler ist für die physische Sicherheit der Terminals verantwortlich (Schutz vor Skimming, Manipulation, unbefugtem Zugriff). Der Zahlungsdienstleister ist für die Transaktionsverarbeitungsinfrastruktur verantwortlich. PCI DSS verlangt, dass der Händler ein Geräte-Inventar führt und regelmäßige physische Inspektionen durchführt.
Was ist P2PE und warum vereinfacht es die PCI DSS-Compliance?
P2PE (Point-to-Point Encryption) ist ein PCI SSC-Validierungsstandard für Lösungen, die Kartendaten vom Terminal bis zur Entschlüsselung durch den sicheren Verarbeitungspunkt verschlüsseln. PCI DSS-validierte P2PE-Lösungen ermöglichen dem Händler, die Kontrollen auf SAQ P2PE zu reduzieren und das interne Kassensystem aus der CDE herauszuhalten. P2PE und Tokenisierung sind komplementäre Ansätze: P2PE für die physische Transaktion, Tokenisierung für die Backend-Speicherung und nachfolgende Verarbeitung.
Betreiben Sie physische Geschäfte mit gemischten Kanälen? Tokenisierung der telefonischen und Online-Transaktionsflüsse ist der effektivste Weg zur Reduzierung der PCI DSS-Compliance-Belastung. PCI Proxy EU entdecken.