Marktplätzezijn regulatorisch complexe Omgevingen uit PCI-Sicht: De Plattform fungiert als Aggregator tussen Käufern en mehreren Anbietern, en de Vraag de Verantwortung voor Kaartgegevens is niet trivial. Hoe is tatsächlich voor de PCI DSS-Naleving verantwortlich, de Marktplatzbetreiber of Elke einzelne Aanbieder? De Antwoord hängt van de Zahlungsfluss-Architektur ab.
De drei Marktplatz-Modelle en uw PCI-bereik
is Het in het Essentiële drei Marktplatz-Modelle uit Zahlungssicht:
- Zentralisiertes Modell: De Marktplatz sammelt Alle Betalingen van Käufern en zahlt dann de Aanbieder uit (Split Payment of Batch-Überweisung). In deze Fall heeft de Marktplatzbetreiber De gehele PCI-bereik: Het beheert de CDE, verwerkt PANs en is volledig verantwortlich. Aanbieder hebben in deze Modell geen directe Contact met Kaartgegevens.
- Dezentralisiertes Modell: Elke Aanbieder beheert seine eigene Zahlungsverarbeitung direct met het eigenen Acquirer. In deze Fall is Elke Aanbieder autonom voor seine PCI-Naleving verantwortlich, en de Marktplatzbetreiber heeft een zeer begrenzten PCI-bereik (möglicherweise SAQ A, wanneer Het geen Zahlungselement hostet).
- Hybrides Modell: De Marktplatz leitet Betalingen tussen Käufern en Anbietern weiter, zonder PANs direct te berühren, über een PSP met Marktplatzfunktionen (Hoe Stripe Connect of Adyen voor Plattformen). In deze Fall is de Bereik geteilt en van het Vertragsmodell met het PSP abhängig.
Geteilte Verantwortung: Plattform vs. Aanbieder
Ook wanneer de Marktplatz het zentralisierte Modell gebruikt en de directe PCI-Verantwortung übernimmt, entheben de Aanbieder niet volledig van jeglicher Naleving-Pflicht. Wanneer een Aanbieder op een Marktplatz-Oberfläche Betalingen anbietet, moet Het sicherstellen, dat seine Systemen (CRM, Order Management, Produktkatalog) geen Kaartgegevens van Käufern separat opslaan of verwerken. Wanneer een Aanbieder een eigene Betaalpagina außerhalb van de Marktplatzes betreibt, is Het volledig verantwortlich voor seine eigene CDE.
Voor DeMarktplatzbetreiberis de Nutzung van Tokenisatie voor Alle van Käufern gesammelten Betalingen een strategische Entscheidung: U maakt het mogelijk, de PCI-Verantwortung te zentralisieren en te begrenzen, een einheitlichen Audit-Proces te verwalten en De Anbietern nachzuweisen, dat uw Käuferdaten in een gecertificeerde Omgeving veilig zijn. Dies is ook een Wettbewerbsvorteil bij de Rekrutierung Nieuwe Aanbieder, de altijd Meer regulatorische Reife van de van u genutzten Plattformen fordern.
PCI Proxy EU voor Marktplätze: een zentralisierter Vault voor Alle Aanbieder
PCI Proxy EU biedt een native Tokenisierungslösung voor Multi-Vendor-Marktplätze: Een einziger Vault beheert Tokens voor Alle Zahlungsströme de Plattform, unabhängig davon, Welke Aanbieder op het Kauf beteiligt is. De Marktplatzbetreiber geïntegreerd eenmalig de PCI Proxy EU-API en het Widget; Alle Aanbieder profitieren automatisch davon, zonder individuelle Integraties.
Voor Split-Payment-Anwendungsfälle maakt mogelijk de PCI Proxy EU-Token het Marktplatz, dieselbe Kreditkartenzahlung een Käufers op mehrere Aanbieder aufzuteilen, zonder dat de PAN de Systemen van de Marktplatzes passiert. Dies is besonders wertvoll voor Plattformen, de Echtzeit-Auszahlungen naar Aanbieder, verzögerte Abrechnungen of Rückerstattungsmanagement verwalten moeten, zonder de PCI-Komplexität te erhöhen.
Veelgestelde vragen
Moet Elke Aanbieder op het Marktplatz einzeln PCI-konform sein?
Dies hängt van het gewählten Zahlungsmodell ab. In het zentralisierten Modell, bij het de Marktplatz Alle Betalingen direct beheert, is de Hauptverantwortung beim Marktplatzbetreiber. Aanbieder moeten sicherstellen, dat u geen Kaartgegevens über uw eigenes Systeem duplizieren of verwerken. In het dezentralisierten Modell hingegen moet Elke Aanbieder seine eigene PCI-Naleving verwalten.
Wat passiert, wanneer een Aanbieder een Datenpanne erleidet en de Marktplatz Kundenkarten opgeslagen heeft?
Wanneer de Datenpanne de Systemen van de Anbieters betreft, maar de Kaarten op de zentralen Plattform van de Marktplatzes opgeslagen zijn, hängt de Verantwortung van het Vertragsrahmen en De tatsächlich betroffenen Systemen ab. In het Allgemeinen voert een Datenpanne op een verbundenen Systeem, het Token beheert, te geen PCI-Datenpanne, wanneer geen PANs in deze Systeem opgeslagen waren. Dies is een weiterer Voordeel de zentralisierten Tokenisatie.
Ondersteunt PCI Proxy EU de PSD2-Vereisten voor Europese Marktplätze?
Ja. PCI Proxy EU is in Europa tätig en berücksichtigt de regulatorischen Vereisten, de voor Europese Zahlungsdienstleister en Marktplätze gelden, einschließlich PSD2-bezogener Vereisten voor de Datenlokalisierung en Beveiligingscontrollen. Gegevens worden in de EU opgeslagen, met vollständiger AVG-Naleving.
Betreiben U een Multi-Vendor-Marktplatz en möchten PCI DSS-Naleving voor Alle Zahlungsströme zentralisieren?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op