Die PCI-DSS-Händlerstufen bestimmen das Ausmaß der Compliance-Pflichten für jeden Händler, der Kartenzahlungen akzeptiert. Die Klassifizierung basiert auf dem jährlichen Transaktionsvolumen und folgt einem Stufensystem von 1 bis 4, wobei Level 1 das höchste Volumen und die strengsten Anforderungen aufweist. Das Verständnis Ihrer Stufe ist der erste Schritt zur korrekten Planung der Compliance-Strategie.
PCI DSS Level 1: Großhändler und High-Volume E-Commerce
Level 1 gilt für Händler, die mehr als 6 Millionen Transaktionen pro Jahr mit Visa, Mastercard oder anderen Kartennetzwerken verarbeiten, sowie für Händler, die nach einer Datenpanne von Kartennetzwerken auf Level 1 hochgestuft wurden. Level-1-Händler unterliegen den strengsten Compliance-Anforderungen:
- Jährliches QSA-Audit: Ein zugelassener Qualified Security Assessor (QSA) muss die Compliance jährlich vor Ort überprüfen und einen Report on Compliance (ROC) erstellen.
- Vierteljährliche ASV-Scans: Schwachstellenscans der externen Infrastruktur durch einen zugelassenen ASV (Approved Scanning Vendor).
- Penetrationstests: Jährliche Penetrationstests für den CDE-Perimeter und alle Anwendungen, die Kartendaten verarbeiten.
- Attestation of Compliance (AOC): Ein offizielles Dokument, das die Compliance bestätigt und vom QSA unterzeichnet wird.
PCI DSS Level 2: Mittlere Händler
Level 2 gilt für Händler, die zwischen 1 Million und 6 Millionen Transaktionen pro Jahr verarbeiten. Level-2-Händler haben weniger strenge Anforderungen als Level 1, aber immer noch erhebliche Pflichten:
- Jährliches SAQ: Ein Self-Assessment Questionnaire muss ausgefüllt und dem Acquirer eingereicht werden. Bei einigen Acquirern kann ein QSA-Audit erforderlich sein.
- Vierteljährliche ASV-Scans: Wie bei Level 1, Schwachstellenscans der externen Infrastruktur.
- Penetrationstests: Jährliche Penetrationstests sind für Händler, die für SAQ D qualifizieren, erforderlich.
PCI DSS Level 3: Kleine E-Commerce-Händler
Level 3 gilt für E-Commerce-Händler, die zwischen 20.000 und 1 Million E-Commerce-Transaktionen pro Jahr verarbeiten. Die Anforderungen sind weniger umfangreich:
- Jährliches SAQ: Ein geeignetes SAQ (typischerweise SAQ A oder SAQ A-EP für E-Commerce) muss ausgefüllt werden.
- Vierteljährliche ASV-Scans: Erforderlich, wenn das SAQ dies verlangt (z.B. SAQ A-EP).
PCI DSS Level 4: Kleinst- und Kleinhändler
Level 4 gilt für alle anderen Händler, die weniger als 20.000 E-Commerce-Transaktionen pro Jahr oder weniger als 1 Million Transaktionen über alle anderen Kanäle verarbeiten. Das sind typischerweise kleine Geschäfte, lokale Händler, Start-ups:
- Jährliches SAQ: Das geeignete SAQ basierend auf dem Zahlungskanal. SAQ A ist für Händler, die alle Kartenverarbeitung an einen zertifizierten Anbieter ausgelagert haben.
- ASV-Scans: Nur wenn der Acquirer dies verlangt oder das SAQ es erfordert.
Die spezifischen Anforderungen für Level-4-Händler variieren je nach Acquirer: Einige verlangen ein formales SAQ, andere akzeptieren eine einfachere Selbstzertifizierung. Überprüfen Sie immer mit Ihrem Acquirer, welche genauen Dokumentationen erforderlich sind.
Wie Tokenisierung die Compliance für jede Stufe vereinfacht
Für Händler aller Stufen reduziert Tokenisierung erheblich die Compliance-Last. Wenn keine PAN die Systeme des Händlers berührt, fällt der Händler in die SAQ-A-Klassifizierung – unabhängig vom Transaktionsvolumen. Das bedeutet, dass auch Level-1- und Level-2-Händler, die Tokenisierung vollständig implementieren, für einfachere Bewertungsverfahren qualifizieren können. Die Schlüsselanforderung ist, dass der gesamte Zahlungsfluss von einem PCI-DSS-Level-1-zertifizierten Anbieter wie PCI Proxy EU verwaltet wird.
Häufig gestellte Fragen
Wie wird das Transaktionsvolumen für die Stufenbestimmung berechnet?
Das Volumen wird typischerweise als Gesamtanzahl der Transaktionen über alle Kanäle (online, in-store, MOTO) mit einem bestimmten Kartennetzwerk berechnet. Einige Netzwerke berechnen die Stufe getrennt (Visa-Stufe und Mastercard-Stufe können unterschiedlich sein). Der Acquirer informiert den Händler über seine Stufenklassifizierung basierend auf den gemeldeten Transaktionsvolumina.
Kann eine Datenpanne meine Stufenklassifizierung ändern?
Ja. Nach einer Datenpanne können Kartennetzwerke beschließen, den Händler unabhängig vom Volumen auf Level 1 hochzustufen. Dies ist eine häufige Konsequenz von Sicherheitsvorfällen: Der Händler wird dann obligatorischen QSA-Audits und verschärften Sanierungsanforderungen unterworfen, bis das Netzwerk zufrieden ist, dass angemessene Sicherheitskontrollen vorhanden sind.
Gibt es unterschiedliche Stufen für E-Commerce und physische Geschäfte?
Ja. Visa und einige andere Netzwerke unterscheiden zwischen „E-Commerce-Transaktionen" (für Level-3-Bestimmung) und „Gesamttransaktionen" (für Level-1- und Level-2-Bestimmung). Ein Händler kann Level 4 für physische Transaktionen und Level 3 für seinen E-Commerce-Kanal sein, wenn er beide betreibt. In solchen Fällen gilt die strengere Klassifizierung für das gesamte Compliance-Programm des Händlers.
Unabhängig von Ihrer Händlerstufe: Tokenisierung vereinfacht Compliance erheblich. Entdecken Sie PCI Proxy EU.