E-Commerce PCI Nalevingis een de Gebieden, in deen Handelaar de meisten Bewertungsfehler maken. Viele glauben, dat de Nutzung van Stripe, PayPal of een bekannten Zahlungsgateway u automatisch van allen PCI DSS-Pflichten befreit. De Realität is differenzierter: De gewählte Integrationsart bestimmt, WelkeSAQgeldt en Hoe viele Controles beim Handelaar verbleiben. Het Verständnis Deze Unterscheidung maakt het mogelijk, De Naleving-Perimeter via de Wahl de richtigen Architektur van Anfang naar te minimieren.
E-Commerce-Checkout en PCI DSS: Wat bij de Kartenakzeptanz ausgelöst wordt
Elke Online-Shop, de Kartenzahlungen akzeptiert, löst PCI DSS-Pflichten voor de Handelaar uit. De Vraag is niet, ob de Pflichten gelden, sondern Welke en in welchem Bereik. Alles hängt davon ab, Hoe Kaartgegevens tijdens van de Checkouts fließen. Wanneer de Browser van de Klanten Kaartgegevens direct naar de Server van de Handelaar stuurt (ook alleen voor een Moment), unterliegt de Handelaar De umfangreichsten Pflichten vanSAQ Dmet über200 te erfüllenden Controles. Wanneer hingegen Kaartgegevens nooit de Server van de Handelaar berühren, omdat het Betaalformulier van het Aanbieder gehostet wordt, kan de Handelaar voor het viel einfachereSAQ Aqualifizieren.
is Het een Mittelweg, de via DeSAQ A-EP-Aanpak repräsentiert wordt: De Handelaar gebruikt het JavaScript van de Anbieters, om Kaartgegevens direct in het Browser van de Klanten te erfassen, zonder dat de Gegevens de Server van de Handelaar passeren. Dies verkleint De Bereik tegenover SAQ D, vereist maar altijd nog Meer Controles als SAQ A, einschließlich de Beheer de Webserver-Beveiliging en van de JavaScript-Codes op Checkout-Pagina's. MetPCI DSS v4heeft de Vereiste naar Zahlungsseitenskripte de Position van SAQ-A-EP-Handelaren weiter verkompliziert.
Integrationsoptionen en deren Einfluss op het SAQ
De belangrijkste Integrationsoptionen voor een E-Commerce zijn drei, geordnet van de aufwändigsten naar de op het wenigsten aufwändigen in Bezug op PCI DSS. De Eerste is de native Checkout: De Handelaar entwickelt en beheert het Karteneingabeformular intern. Dies vereistSAQ Dmet het breitesten Naleving-Perimeter. De zweite Option zijnHosted Fieldsof JavaScript-Injektion: De Aanbieder fügt Eingabefelder in de Pagina van de Handelaar een, de Kaartgegevens direct in het Browser erfassen en naar De Aanbieder sturen. Dies voert te SAQ A-EP met een mittleren Bereik. De dritte en op het wenigsten aufwändige Option is de Weiterleitung te eengehosteten Betaalpagina: De Gebruikers verlässt de Website van de Handelaar, om de Betaling op een van het Aanbieder gehosteten Pagina af te ronden, en kehrt danach naar deück. Deze Architektur maakt mogelijkSAQ A.
Tokenisatie fügt in elke Szenario een zusätzliche Schutzschicht hinzu. Wanneer een zertifizierter Tokenisierungsanbieter dePANabfängt, bevor u de Systemen van de Handelaar erreicht, en een irreversiblenTokennaar deückgibt, hält de Handelaar nooit sensible Kaartgegevens. De Token kan frei voor zukünftige Nutzung opgeslagen worden (Abonnementverlängerungen, terugkerende Bestellingen), zonder dat dies zusätzliche Kaartgegevens-Sicherheitspflichten begründet, da de Token außerhalb van de Systems van de Anbieters geen Wert heeft.
Hoe PCI Proxy EU De PCI-bereik uit Uw E-Commerce elimineert
MetPCI Proxy EUziet de Checkout van de Handelaar nooit Kaartgegevens. Het Betaalformulier wordt van de gecertificeerdePCI DSS Level 1-Infrastructuur van PCI Proxy EU beheert, de dePANabfängt en het Handelaar een Token naar deückgibt, bevor sensible Gegevens de Server van de Online-Shops erreichen. Dies bringt De Handelaar direct teSAQ Aen elimineert de Notwendigkeit voor vierteljährliche Schwachstellenscans de Server, umfangreiche Penetratietests, Zertifikatsverwaltung en CDE-specifieke Toegangscontrolebeleid.
De betriebliche Voordeel is erheblich, ook voor Shops, de terugkerende Bestellingen of Abonnements---- verwalten. De van het Handelaar gespeicherte Token kan gebruikt worden, om in Zukunft Kaarten te belasten, zonder dat de Handelaar ooit de ursprüngliche PAN kennt. Dit Szenario, het eerder in de PCI DSS-Naleving complex te verwalten Wat, wordt met een Tokenisierungsanbieter unkompliziert: De Handelaar fordert De Aanbieder op, een Charge mithilfe van de Tokens te verwerken, en de Aanbieder gebruikt de PAN, de Het in seinem gecertificeerde Vault hält. De Handelaar ziet nooit de sensiblen Gegevens en behält De SAQ-A-Perimeter in allen Phasen van de Kundenlebenszyklus bij.
Veelgestelde vragen
Bin ik PCI DSS-konform, wanneer ik Stripe of PayPal verwende?
hängt van de Integratie ab. Wanneer U de Weiterleitung naar de Stripe- of PayPal-Checkout-Pagina gebruiken, is Uw Bereik op SAQ A verkleint. Wanneer U deren APIs of JavaScript-Elemente met op Uw Domain gehosteten Formularen gebruiken, is Uw Bereik SAQ A-EP. Wanneer U de APIs direct geïntegreerd hebben en Kaartgegevens via Uw Server leiten, befinden U zich in SAQ D. De Nutzung een bekannten Gateways betekent niet automatisch Naleving: De Integrationsarchitektur is entscheidend.
Verkleint een gehosteter Betalings--iFrame meinen Bereik?
Ja, wanneer de iFrame van de Domain van de Anbieters geladen wordt en Kaartgegevens niet via de Server van de Handelaar passeren. In deze Fall is de typische Qualifikation SAQ A. Vorsicht: Wanneer de Handelaar benutzerdefiniertes JavaScript op deselben Pagina Hoe De iFrame ausführt, het theoretisch op de Gegevens toegang krijgen könnte, kan de PCI Council vereisen, dat de Handelaar SAQ A-EP statt SAQ A abschließt. Überprüfen U altijd de korrekte Klassifizierung met Uw Acquirer.
Ik habe een WooCommerce-Shop: Wat moet ik tun?
WooCommerce selbst bestimmt niet Uw PCI-bereik: Entscheidend is, Welke Zahlungsgateway U gebruiken en Hoe U geïntegreerd hebben. Wanneer U een Weiterleitung naar de gehosteten Betaalpagina Ihres Anbieters gebruiken, kunnen U SAQ A abschließen. Wanneer U Plugins gebruiken, de Kaartgegevens direct in het WooCommerce-Checkout erfassen en über API übermitteln, is Uw Bereik größHet. Überprüfen U de Documentatie Ihres Betalings--Plugins en wisselen U bij Bedarf te een gehosteten Formularlösung.
Geen Kaartgegevens in Uw E-Commerce betekent SAQ A, vereinfachte Naleving en sicherere Klanten.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op