PCI DSS

PCI DSS-handelaarsniveaus: verschillen tussen Level 1, 2, 3 en 4

25 januari 2025 5 min lezen PCI Proxy EU

DePCI DSS-Händlerstufenbestimmen het Ausmaß de Naleving-Pflichten voor elke Handelaar, de Kartenzahlungen akzeptiert. De Klassifizierung basiert op het jährlichen Transaktionsvolumen en folgt een Stufensystem van 1 tot 4, wobei Level 1 het höchste Volumen en de strengsten Vereisten aufweist. Het Verständnis Uw Stufe is de Eerste Stap naar de korrekten Planung de Naleving-Strategie.

PCI DSS-handelaarsniveaus: verschillen tussen Level 1, 2, 3 en 4

PCI DSS Level 1: Großhandelaar en High-Volume E-Commerce

Level 1geldt voor Handelaar, de Meer als6 Millionen Transacties pro Jaarmet Visa, Mastercard of anderen Kartennetzwerken verwerken, alsmede voor Handelaar, de na een Datenpanne van Kartennetzwerken op Level 1 hochgestuft worden. Level-1-Handelaar unterliegen De strengsten Naleving-Vereisten:

  • Jährliches QSA-Audit:Een zugelassener Qualified Security Assessor (QSA) moet de Naleving jaarlijks voor Ort überprüfen en een Report on Naleving (ROC) erstellen.
  • Vierteljährliche ASV-Scans:Schwachstellenscans de externen Infrastructuur via een zugelassenen ASV (Approved Scanning Vendor).
  • Penetratietests:Jaarlijkse Penetratietests voor de CDE-Perimeter en Alle Applicaties, de Kaartgegevens verwerken.
  • Attestation of Naleving (AOC):Een offizielles Dokument, het de Naleving bestätigt en van het QSA unterzeichnet wordt.

PCI DSS Level 2: Mittlere Handelaar

Level 2geldt voor Handelaar, de tussen1 Million en 6 Millionen Transacties pro Jaarverwerken. Level-2-Handelaar hebben Minder strenge Vereisten als Level 1, maar altijd nog erhebliche Pflichten:

  • Jährliches SAQ:Een Self-Assessment Questionnaire moet ausgefüllt en het Acquirer eingereicht worden. Bij einigen Acquirern kan een QSA-Audit vereist sein.
  • Vierteljährliche ASV-Scans:Hoe bij Level 1, Schwachstellenscans de externen Infrastructuur.
  • Penetratietests:Jaarlijkse Penetratietests zijn voor Handelaar, de voor SAQ D qualifizieren, vereist.

PCI DSS Level 3: Kleine E-Commerce-Handelaar

Level 3geldt voor E-Commerce-Handelaar, de tussen20.000 en 1 Million E-Commerce-Transacties pro Jaarverwerken. De Vereisten zijn Minder umfangreich:

  • Jährliches SAQ:Een geeignetes SAQ (typischerweise SAQ A of SAQ A-EP voor E-Commerce) moet ausgefüllt worden.
  • Vierteljährliche ASV-Scans:Vereist, wanneer het SAQ dies verlangt (z.B. SAQ A-EP).

PCI DSS Level 4: Kleinst- en Kleinhändler

Level 4geldt voor Alle anderen Handelaar, de Minder als 20.000 E-Commerce-Transacties pro Jaar of Minder als 1 Million Transacties über Alle anderen Kanäle verwerken. Het zijn typischerweise kleine Geschäfte, lokale Handelaar, Start-ups:

  • Jährliches SAQ:Het geeignete SAQ basierend op het Zahlungskanal. SAQ A is voor Handelaar, de Alle Kartenverarbeitung naar een gecertificeerde Aanbieder ausgelagert hebben.
  • ASV-Scans:Alleen wanneer de Acquirer dies verlangt of het SAQ vereist.

De specifieke Vereisten voor Level-4-Handelaar variieren u na Acquirer: Sommige vereisen een formales SAQ, andere accepteren een einfachere Selbstzertifizierung. Überprüfen U altijd met Uw Acquirer, Welke genauen Dokumentationen vereist zijn.

Hoe Tokenisatie de Naleving voor Elke Stufe vereinfacht

Voor Handelaar aller Stufen verkleintTokenisatieerheblich de Naleving-Last. Wanneer geen PAN de Systemen van de Handelaar raakt, valt de Handelaar in de SAQ-A-Klassifizierung, unabhängig van het Transaktionsvolumen. Het betekent, dat ook Level-1- en Level-2-Handelaar, de Tokenisatie volledig implementeren, voor einfachere Bewertungsverfahren qualifizieren kunnen. De Schlüsselanforderung is, dat de gehele Zahlungsfluss van een PCI DSS-Level-1-gecertificeerde Aanbieder Hoe PCI Proxy EU beheert wordt.

Veelgestelde vragen

Hoe wordt het Transaktionsvolumen voor de Stufenbestimmung berechnet?

Het Volumen wordt typischerweise als Gesamtanzahl de Transacties über Alle Kanäle (online, in-store, MOTO) met een bestimmten Kartennetzwerk berechnet. Sommige Netwerken berechnen de Stufe getrennt (Visa-Stufe en Mastercard-Stufe kunnen unterschiedlich sein). De Acquirer informiert De Handelaar über seine Stufenklassifizierung basierend op De gemeldeten Transaktionsvolumina.

Kan een Datenpanne meine Stufenklassifizierung ändern?

Ja. Na een Datenpanne kunnen Kartennetzwerke beschließen, De Handelaar unabhängig van het Volumen op Level 1 hochzustufen. Dies is een veelvoorkomende Konsequenz van Sicherheitsvorfällen: De Handelaar wordt dann obligatorischen QSA-Audits en verschärften Sanierungsanforderungen unterworfen, tot het Netwerk zufrieden is, dat angemessene Beveiligingscontrollen vorhanden zijn.

Is Het unterschiedliche Stufen voor E-Commerce en fysieke Geschäfte?

Ja. Visa en sommige andere Netwerken unterscheiden tussen "E-Commerce-Transacties" (voor Level-3-Bestimmung) en "Gesamttransaktionen" (voor Level-1- en Level-2-Bestimmung). Een Handelaar kan Level 4 voor fysieke Transacties en Level 3 voor seinen E-Commerce-Kanaal sein, wanneer Het Beide betreibt. In solchen Fällen geldt de strengere Klassifizierung voor het gehele Naleving-Programm van de Handelaar.

Unabhängig van Uw Händlerstufe: Tokenisatie vereinfacht Naleving erheblich.Ontdek PCI Proxy EU.

Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Gerelateerde artikelen

Naleving

Hoe u het PCI DSS-bereik verkleint met tokenisatie

Praktische strategieën om het PCI-bereik te verkleinen en te kwalificeren voor eenvoudigere SAQ's.

 Callcenter

MOTO-betalingen en PCI-naleving

Essentiële gids voor callcenters die telefonische betalingen afhandelen.

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.

Neem contact op Hoe het werkt