Fysieke Geschäfte stehen voor een Minder bekannten Probleem als E-Commerce-Handelaar: PCI DSS geldt ook voor de Verwerking van Kaartgegevens naarPOS-Terminals, ook wanneer geen einzige Kaart online verwerkt wordt. Einzelhändler, de Klanten in het Laden accepteren, Reservierungen per Telefoon entgegennehmen of Treueprogramme führen, hebben Datenflusse, de de CDE in uw Netz einbeziehen kunnen. Deze Artikel legt uit, Welke Pflichten voor fysieke Geschäfte wirklich gelden en Hoe man De Naleving-Bereik radikal verkleint.
Hoe PCI DSS in het physischen Retail funktioniert
Een Einzelhändler met Ladengeschäften glaubt oft, sein PCI DSS-Probleem sei einfacher als het een Online-Handelaar: Man heeft een POS-Terminal, de Klant steckt de Kaart een, het Gerät kommuniziert met het Acquirer en fertig. In Wirklichkeit is de Situation komplexer. Het POS-Terminal is alleen de Eerste Punkt van de Datenflusses: Hinter ihm steht oft een Kasse, de met een interne Netwerk verbonden is, het zich met Backoffice, Lagerverwaltung en Buchhaltungssystemen geïntegreerd. Wanneer het interne Netwerk schlecht segmentiert is, kan het gehele Filialnetz Teil de CDE worden.
De PCI DSS-Vereisten voor Einzelhändler hängen davon ab, Hoe het POS-Terminal konfiguriert is en Hoe het interne Netwerk aufgebaut is. Handelaar, de ausschließlich genehmigte POS-Terminals (SCRP-Listed Devices) gebruiken en geen Kaartgegevens in uw Systemen opslaan of verwerken, kunnen zich möglicherweise voor SAQ B of SAQ B-IP qualifizieren: Selbstbewertungsfragebögen met deutlich Minder Controles als SAQ D. De Sleutel liegt in het Verständnis, Welke Systemen tatsächlich Kaartgegevens berühren.
Besondere Risico's: Skimming en POS-Manipulation
Fysieke Geschäfte zien zich specifieke Risico's tegenover, de Online-Handelaren fremd zijn:Skimming(Anbringen een Datenlesegeräts op het POS-Terminal),Shoulder-Surfing(PIN-Beobachtung) en fysieke Manipulation van de Kassenbereichs. PCI DSS v4 heeft de Vereisten in het Zusammenhang met physischer Gerätesicherheit verstärkt: Vereiste 9.5 verlangt een formelle Beleidsregel voor de fysieke Sicherung van POS-Terminals, einschließlich regelmäßiger Inspektionen op Anzeichen van Manipulation.
Nieuwe Vereisten in PCI DSS v4 omvatten ook de Schulung van de Personals, om Manipulationsversuche naar Geräten te erkennen, en de Führung een Geräte-Inventars met Seriennummern. Deze Vereisten zijn voor Einzelhändler met vielen Filialen operativ anspruchsvoll, kunnen maar via geeignete Geräteverwaltungssysteme standardisiert worden.
Telefonische Reservierungen en Callcenter-Risico's
Voor Einzelhändler, deKaartgegevens telefonischentgegennehmen (Telefonverkauf, Callcenter-Reservierungen), is de Naleving-Situation komplexer. De Medewerker, de de Kaart hoort en in een Systeem invoert, raakt Kaartgegevens en maakt het Systeem CDE-pflichtig. PCI DSS v4 heeft Vereiste 3.3.2 hinzugefügt, de explizit de elektronische Opname sensibler Authentifizierungsdaten (Volledige Kaartnummers, CVV, PIN) voor Autorisierungsabschluss untersagt.
Tokenisatie löst Dit Probleem: Wanneer de Medewerker statt de Kaartnummer in een internes Systeem te tippen, een veilige Link of een Bezahlterminal-Widget gebruikt, het de Kaart direct in een Token konvertiert, berühren interne Systemen nooit PANs. Dit Muster is alsMOTO-Tokenisatie(Mail Order / Telephone Order) bekannt en is voor viele fysieke Handelaar met gemischten Kanälen de meest effectieve Methode naar de CDE-Reduzierung.
Tokenisatie in het physischen Retail: Wanneer sinnvoll is
Voor een reinen Einzelhändler met ausschließlich POS-Transacties is Tokenisatie op het wertvollsten, wanneer:
- de Handelaar ook telefonisch of online Kaarten akzeptiert (gemischte Kanäle)
- Kaartgegevens in Backoffice-Systemen voor Rechnungen, Erstattungen of Treueprogramme opgeslagen worden
- CRM- of ERP-Systemen met het Kassensystem kommunizieren en Transaktionsdaten bevatten
- Medewerker manuell Kreditkartennummern voor Telefonbestellungen invoeren
In deze Fällen elimineert Tokenisatie dePANuit interne Systemen en verkleint de CDE op de Tokenisierungsschicht, de van PCI Proxy EU Level-1-gecertificeerd is. Het interne Netwerk, Kassensysteme en CRM verlassen De PCI DSS-Bereik.
Veelgestelde vragen
Geldt PCI DSS ook voor een kleinen Laden met een einzigen POS-Terminal?
Ja, PCI DSS geldt voor elke Handelaar, de Zahlungskartentransaktionen durchführt, unabhängig van Größe of Anzahl de Terminals. De SAQ-Typ hängt davon ab, Hoe Kaarten akzeptiert worden: Een Handelaar met een einzigen P2PE-validierten Terminal zonder eigene Kaartgegevens kan SAQ P2PE ausfüllen, de alleen 35 Vragen umfasst. Een Handelaar met een niet validierten Terminal en interne Speichersystemen heeft een deutlich komplexeren Bereik.
Hoe is verantwortlich, wanneer het POS-Terminal kompromittiert wordt?
De Verantwortung deelt zich tussen het POS-Gerätehersteller, het Zahlungsdienstleister en het Handelaar op. De Handelaar is voor de fysieke Beveiliging de Terminals verantwortlich (Bescherming voor Skimming, Manipulation, unbefugtem Toegang). De Zahlungsdienstleister is voor de Transaktionsverarbeitungsinfrastruktur verantwortlich. PCI DSS verlangt, dat de Handelaar een Geräte-Inventar voert en regelmatige fysieke Inspektionen durchführt.
Wat is P2PE en Waarom vereinfacht de PCI DSS-Naleving?
P2PE (Point-to-Point Encryption) is een PCI SSC-Validierungsstandard voor Oplossingen, de Kaartgegevens van het Terminal tot naar de Entschlüsselung via De veilige Verarbeitungspunkt verschlüsseln. PCI DSS-validierte P2PE-Oplossingen maken mogelijk het Handelaar, de Controles op SAQ P2PE te verkleinen en het interne Kassensystem uit de CDE herauszuhalten. P2PE en Tokenisatie zijn komplementäre Aanpakken: P2PE voor de fysieke Transactie, Tokenisatie voor de Backend-Opslag en nachfolgende Verwerking.
Betreiben U fysieke Geschäfte met gemischten Kanälen? Tokenisatie de telefonischen en Online-Transaktionsflüsse is de meest effectieve Weg naar de Reduzierung de PCI DSS-Naleving-Charge.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op