PCI Compliance im Gesundheitswesen
Patientenzahlungsdaten aus dem PCI-Scope nehmen. Ein europäisches PCI DSS Level 1-Vault für Anbieter, Kliniken und Health-Tech – tokenisierte Karten für Online-, Telefon- und Dauerabrechnung mit EU-Datenhaltung.
Das Gesundheitswesen verarbeitet Karten an vielen Berührungspunkten
Online-Buchung, Empfangsschalter, Telefonzahlungen, Abrechnung und Behandlungspläne – alle berühren Kartendaten, die neben den sensibelsten Personendaten überhaupt liegen.
Viele Zahlungspunkte
Web, Empfang, Telefon und Abrechnungssysteme verarbeiten alle Karten und vervielfachen den PCI-Scope.
Sensible Daten neben Kartendaten
Kartendaten liegen neben Gesundheitsinformationen – das erhöht das Risiko jedes Vorfalls und den Bedarf, den Scope zu minimieren.
Telefon- & Empfangszahlungen
Mitarbeiter nehmen Karten häufig per Telefon oder am Empfang entgegen, was Personen und Systeme in den Scope ziehen kann.
Dauer- & Ratenzahlungen
Behandlungspläne, Mitgliedschaften und Raten erfordern eine Karte, die erneut belastet werden kann, ohne die PAN zu speichern.
Prüfaufwand
Anbieter haben begrenzte Sicherheitsressourcen – ein vollständiges SAQ D-Programm ist ein erheblicher, laufender Aufwand.
EU-Datenhaltung
Patienten und Aufsichtsbehörden erwarten, dass Karten- und Personendaten gemäß DSGVO in der EU verbleiben.
Systeme, die niemals eine Kartennummer sehen
Gehostete Felder & SDKs
Karteneingaben senden Daten direkt an das Vault und geben einen Token zurück – sichere Online- und In-App-Zahlungen ohne PAN auf Ihren Servern.
Telefon- & Empfangszahlungen
MOTO-Erfassung sendet die Karte direkt an das Vault, ohne sie anzuzeigen oder zu speichern – Telefon- und Tischzahlungen bleiben außerhalb des Scopes.
Dauerabrechnung
Gespeicherte Token für Behandlungspläne, Mitgliedschaften und Raten belasten – ohne Kartendaten in Ihrem Abrechnungssystem.
EU-Verwahrung
Kartendaten werden ausschließlich in europäischen Rechenzentren unter PCI DSS Level 1 mit DSGVO-konformer Datenhaltung gespeichert.
Gesundheitszahlungen – Ihre Fragen beantwortet
01 Wie hält Tokenisierung einen Gesundheitsdienstleister PCI-konform?
Patienten-Kartendaten werden in gehosteten Feldern oder telefonisch erfasst und direkt an ein PCI DSS Level 1-Vault übermittelt, das einen Token zurückgibt. Ihre Buchungssysteme, Patientenakten und Abrechnungstools speichern ausschließlich Token, sodass Karteninhaberdaten Ihre Umgebung niemals berühren und die meisten Anbieter SAQ A erfüllen.
02 Können wir telefonisch Zahlungen für Termine entgegennehmen?
Ja. Mitarbeiter können Karten über einen MOTO-Flow erfassen, bei dem die Nummer direkt an das Vault gesendet und weder angezeigt noch gespeichert wird – so bleiben Telefon- und Empfangszahlungen außerhalb des PCI-Scopes und sind für das Personal einfach zu handhaben.
03 Unterstützt die Lösung Dauer- und Ratenzahlungen?
Ja. Ein Token repräsentiert eine gespeicherte Karte, die Sie für Behandlungspläne, Mitgliedschaften und Raten erneut belasten können – ohne die echte Kartennummer in Ihren Systemen zu speichern.
04 Werden Patienten-Kartendaten in der EU gespeichert?
Ja. PCI Proxy speichert Kartendaten ausschließlich in europäischen Rechenzentren mit DSGVO-konformer Datenhaltung – wichtig für Gesundheitsdienstleister, die sensible Daten verarbeiten und regionalen Datenschutzvorschriften unterliegen.
Patientenzahlungen aus dem PCI-Scope nehmen
Schildern Sie uns Ihre Buchungs-, Abrechnungs- und Telefonabläufe, und wir entwickeln ein Tokenisierungs-Setup, das Sie auf SAQ A hält.