In Europa is Het Millionen van kleinen en mittleren Bedrijf, de Kartenzahlungen accepteren, online, telefonisch of in het Laden. De meisten van u wissen, dat u irgendwelche Datensicherheitsstandards einhalten moeten, maar de wenigsten hebben zich wirklich damit befasst, Wat PCI DSS concreet voor uw Bedrijf betekent. De gute Rapport: Met De richtigen Architekturentscheidungen is de Naleving-Charge voor kleine Bedrijf überschaubar. De schlechte Rapport: Viele KMU implementeren Betalingen op een Weise, de de Naleving unnötig kompliziert maakt.
Het Europese Kontext: AVG, PSD2 en PCI DSS
Kleine Bedrijf in Europa operieren in een Regulierungsrahmen, de mehrere überschneidende Vereisten umfasst.AVG(Gegevensbescherming-Grundverordnung) regelt De Umgang met personenbezogenen Gegevens aller Europese Bürger en geldt voor elke Bedrijf, het Europese Klanten bedient.PSD2(Zahlungsdiensterichtlinie 2) heeft de Vereisten naar de Sterke klantauthenticatie (SCA) eingeführt.PCI DSSis een privatrechtlicher Standaard de Kartennetzwerke, de via Merchantverträge verplicht gemacht wordt.
Deze drei Regelgeving überschneiden zich, zijn maar niet identisch. PCI DSS en AVG hebben unterschiedliche Definitionen van sensiblen Gegevens: AVG schützt personenbezogene Gegevens (Name, Adresse, E-Mail), PCI DSS schützt Kaartgegevens (PAN, CVV, PIN). Een Datenpanne bij Kaartgegevens kan zowel PCI DSS-Sancties als ook AVG-Boetes auslösen. Kleine Bedrijf in Europa moeten Beide Vereisten in het Auge behalten.
Typische Fout kleiner Bedrijf bij de Zahlungsimplementierung
In de Praxis zien wij veelvoorkomend volgende Fout, de PCI DSS voor kleine Bedrijf unnötig kompliziert maken:
- Kaartgegevens per E-Mail of WhatsApp ontvangen: Klanten sturen Kaartnummers über ungesicherte Kanäle, Wat direct tegen PCI DSS verstößt en gleichzeitig het Bedrijf ernsthaften AVG-Risico's aussetzt.
- Kaartnummers in Excel-Tabellen opslaan: Viele kleine Bedrijf, de Abonnements---- of terugkerende Betalingen verwalten, opslaan Kaartnummers in Tabellenkalkulationen. Het is een schwerwiegender PCI DSS-Verstoß.
- Kaartnummers in CRM of ERP invoeren: Interne Systemen zijn oft niet voor de veilige Beheer sensibler Betalingsgegevens ausgelegt en könnten de gehele Datenbank naar het PCI DSS-Bereik maken.
- Benutzerdefinierte Zahlungsformulare zonder veilige Implementatie: JavaScript-Zahlungsformulare op de eigenen Domain, de zonder korrekte Sicherheitsmaßnahmen geïmplementeerd worden, zijn anfällig voor Skimming-Aanvallen.
De richtige Architektur voor kleine Bedrijf
Voor de meisten kleinen Europese Bedrijf is de optimale PCI DSS-Architektur:
- Geen Kaartgegevens selbst verwerken: Delegieren U de Volledige Kartendatenverarbeitung naar een PCI DSS Level-1-gecertificeerde Aanbieder. Gebruiken U een Hosted Payment Page of veilige Token-APIs.
- Alleen Tokens intern opslaan: Anstelle de Kaartnummer slaat op het CRM/ERP een Token. De Token kan voor Rückerstattungen, Abonnement-Verlängerungen en Kundenverwaltung gebruikt worden, zonder het PCI DSS-Risico.
- Telefonische Betalingen über veilige Links: Statt Kaartnummers telefonisch entgegenzunehmen, stuurt de Medewerker het Klanten een veilige Zahlungslink. De Klant is Het de Kaart selbst een.
Met Deze Architektur qualifiziert zich het Bedrijf voor SAQ A: De jaarlijkse Naleving-Arbeit verkleint zich op de Beantwortung van 22 Vragen en de Überprüfung de Betaalpagina op Skript-Beveiliging.
Praktische Checklist voor KMU
Überprüfen U Uw aktuellen Naleving-Status met Deze Checklist:
- Opslaan wij Kaartnummers in een eigenen Systeem (Datenbank, Excel, CRM)? → Sofortiger Handlungsbedarf
- Ontvangen wij Kaartnummers per E-Mail, Fax of Telefoon en geven u manuell een? → Sofortiger Handlungsbedarf
- Hebben wij een eigenes Betaalformulier op onze Website, het Kaartgegevens ontvangt? → Prüfen ob SAQ A-EP statt SAQ A geldt
- Gebruiken wij een volledig gehoste Betaalpagina een gecertificeerde Anbieters? → Richtige Architektur, SAQ A mogelijk
- Hebben wij onze Acquirer über onze Naleving-Situation informiert en het jaarlijkse SAQ eingereicht? → Pflicht
Veelgestelde vragen
Mein Acquirer heeft mij nog nie na PCI DSS gefragt. Moet ik trotzdem compliant sein?
Ja. Het Fehlen een aktiven Vereiste via De Acquirer betekent niet, dat geen Pflicht besteht. De PCI DSS-Vereiste is in het Händlervertrag verankert, De U beim Öffnen van de Händlerkontos unterzeichnet hebben. Acquirer in Europa hebben unterschiedliche Häufigkeiten, met deen u aktiv Naleving-Bewijzen van kleinen Handelaren einfordern, maar de vertragliche Verpflichtung besteht unabhängig davon. Bij een Datenpanne worden fehlende Naleving-Bewijzen te erschwerenden Faktoren bij de Haftungszuweisung.
Is PCI DSS dasselbe Hoe AVG-Naleving?
Nein. PCI DSS en AVG hebben unterschiedliche Geltungsbereiche, Vereisten en Strafrahmen. AVG schützt personenbezogene Gegevens Europese Bürger en wordt van nationalen Datenschutzbehörden durchgesetzt. PCI DSS schützt Zahlungskartendaten en wordt via Kartennetzwerk-Verträge en Acquirer-Beziehungen durchgesetzt. Beide Regelgeving gelden gleichzeitig: Een Bedrijf kan AVG-konform sein, maar PCI DSS-Verstöße begehen, en umgekehrt.
Kleines Bedrijf, große Naleving-Erleichterung: PCI Proxy EU biedt de Tokenisierungslösung, de Uw PCI DSS-Naleving op SAQ A verkleint.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op