Bevor ein Acquirer einen Händler für die Kartenakzeptanz aktiviert, fordert er PCI DSS-Konformitätsdokumentation an. Der PCI DSS Händler-Onboarding-Prozess variiert in seiner Komplexität je nach erwartetem Transaktionsvolumen und Art der technischen Integration. Wenn man im Voraus weiß, was erforderlich ist, lässt sich die Dokumentation schnell vorbereiten und Aktivierungsverzögerungen können vermieden werden.
Was der Acquirer beim PCI-Onboarding verlangt
Der erste Schritt beim PCI-Onboarding ist die Klassifizierung des Händlers auf Basis der PCI DSS Händler-Stufen. Die Stufen reichen von Level 1 (über 6 Millionen Jahrestransaktionen) bis Level 4 (weniger als 20.000 jährliche E-Commerce-Transaktionen oder weniger als 1 Million Gesamttransaktionen). Die Stufe bestimmt die Dokumentationsanforderungen: Level-1-Händler müssen einen von einem QSA erstellten Report on Compliance (RoC) einreichen, während Level-2-, 3- und 4-Händler in der Regel einen Self-Assessment Questionnaire (SAQ) ausfüllen können.
Der Acquirer verlangt typischerweise: den ausgefüllten und unterzeichneten SAQ (oder RoC für Level 1), die Attestation of Compliance (AOC), die den Abschluss des Prozesses bestätigt, Ergebnisse eines vierteljährlichen Schwachstellenscans durch einen Approved Scanning Vendor (ASV) für Händler, die über das Internet zugängliche Netzwerkkomponenten verwalten, sowie die Dokumentation interner Sicherheitsrichtlinien. Einige Acquirer verlangen für Händler auf höheren Stufen auch einen jährlichen Penetrationstest.
Dokumente und SAQ: Wie lange dauert es?
Der Zeitaufwand für das PCI-Onboarding hängt in erster Linie von der Art des anwendbaren SAQ ab. Der SAQ A, der für Händler gilt, die niemals Kartendaten berühren (weil sie einen zertifizierten Anbieter für die Erfassung und Verarbeitung nutzen), umfasst 22 Anforderungen und kann in wenigen Stunden ausgefüllt werden. Der SAQ D, der für Händler gilt, die die CDE intern verwalten, hat über 300 Anforderungen und erfordert wochenlange Arbeit mit externer Beratungsunterstützung.
Identitäts- und Unternehmensregistrierungsdokumente, technische Architekturinformationen und das Kartendatenflussdiaagramm werden von fast allen Acquirern unabhängig von der Stufe verlangt. Die Erstellung des Datenflussdiaagramms, das zeigen muss, wie der PAN in die Systeme des Händlers eintritt, sie durchläuft und verlässt, ist oft der zeitaufwändigste Schritt, wenn er nicht bereits dokumentiert wurde.
Wie das Onboarding durch einen reduzierten Perimeter beschleunigt wird
Das Element, das die Geschwindigkeit des PCI-Onboardings am stärksten beeinflusst, ist die Komplexität des zu deklarierenden Perimeters. Ein Händler, der PCI Proxy EU für die Erfassung und Verarbeitung von Kartendaten nutzt, kann eine minimierte CDE deklarieren: Seine Systeme verarbeiten niemals PANs im Klartext und fallen daher nicht in den Perimeter. Dies ermöglicht es, anstelle eines SAQ D einen SAQ A auszufüllen und so wochenlange Arbeit beim Onboarding-Prozess einzusparen.
Dem Acquirer ein Datenflussdiaagramm vorzulegen, das den Proxy als einzigen PAN-Verarbeitungspunkt ausweist, sowie die AOC von PCI Proxy EU als zertifizierter Dienstleister beschleunigt den Genehmigungsprozess erheblich. Viele Acquirer haben vereinfachte Verfahren für Händler, die zertifizierte Dienstleister für die Kartendatenverarbeitung nutzen, da sie anerkennen, dass das Risiko durch eine bereits kontrollierte Infrastruktur gemanagt wird.
Häufig gestellte Fragen
Kann der Acquirer Zahlungen sperren, wenn ich keinen SAQ einreiche?
Ja. Der Acquirer hat sowohl das vertragliche Recht als auch die Verpflichtung gegenüber den Kartennetzwerken, die PCI-Konformität seiner Händler zu überprüfen. Wenn Dokumentation nicht innerhalb der vorgeschriebenen Fristen eingereicht wird, kann der Acquirer zusätzliche Gebühren erheben, Zahlungsfunktionalitäten einschränken oder im schwerwiegendsten Fall die Akzeptanzvereinbarung kündigen. Die spezifischen Bedingungen und Konsequenzen sind im Händlervertragsvertrag angegeben.
Wie oft verlangt der Acquirer die Erneuerung der PCI-Konformität?
Der PCI-Konformitätszyklus ist jährlich. Der SAQ oder RoC muss jedes Jahr erneuert werden, und ASV-Scans (für Händler im Scope) müssen vierteljährlich durchgeführt werden. Einige Acquirer senden 60–90 Tage vor Ablauf der aktuellen AOC eine automatische Erinnerung, aber es liegt in der Verantwortung des Händlers, den Erneuerungsprozess rechtzeitig einzuleiten.
Muss ich die PCI-Bescheinigung auch an das Netzwerk (Visa/Mastercard) übermitteln?
Für Level-1-Händler muss die AOC sowohl direkt an die Netzwerke (Visa, Mastercard) als auch an den Acquirer übermittelt werden. Für Level-2-, 3- und 4-Händler wird die Dokumentation in der Regel vom Acquirer verwaltet, der sie auf Basis interner Vereinbarungen an die Netzwerke weiterleitet. In beiden Fällen ist der Acquirer der Hauptansprechpartner des Händlers während des gesamten Konformitätsprozesses.
Möchten Sie das PCI-Onboarding bei Ihrem Acquirer durch Vorlage einer reduzierten CDE beschleunigen? Erfahren Sie, wie PCI Proxy EU den Prozess vereinfacht. PCI Proxy EU entdecken.