Buchhaltung

PCI-Compliance: Definition, Kosten und Anbieter

Inhaltsverzeichnis:

Anonim

Der PCI DSS (Payment Card Industry Data Security Standard) ist eine Gruppe von Richtlinien für Unternehmen, die Kreditkarten akzeptieren. Der Rat, der die Standards erstellt, ist unabhängig von den großen Kreditkartenunternehmen wie Visa, wird jedoch von diesen beauftragt. Es soll die PCI-Konformität regeln, um Verbraucherinformationen vor Datenverstößen zu schützen.

Anbieter von Händlerdiensten, z. B. Chase Merchant Services, müssen die PCI-Konformität für sich und alle Händler-Accounts aufrechterhalten. Sie sind sich nicht sicher, ob Sie die PCI-Richtlinien erfüllen? Chase erfüllt die PCI-Anforderungen, um ein Level 1-Anbieter zu sein, und bietet Tools, mit denen die Inhaber von Händlerkonten sicherstellen können, dass auch sensible Daten geschützt werden. Beantragen Sie noch heute ein Konto.

Besuchen Sie Chase Merchant Services

Was ist PCI-Konformität?

Das PCI DSS wurde 2006 gegründet, um sensible Verbraucherdaten wie Kreditkartennummern und personenbezogene Daten zu schützen. Die großen Kreditkartenunternehmen - Visa, MasterCard, American Express, Discover und JCB - sind genauso besorgt über Datenverletzungen wie die Verbraucher.

Mit einer Reihe von Richtlinien können Merchant Services Provider (MSPs), Zahlungsprozessoren, Zahlungsgateways und Händler auf derselben Datensicherheitsseite gehalten werden. Dies bedeutet, dass jeder, der an Kreditkartenzahlungen beteiligt ist, strenge Regeln einhalten muss, einschließlich:

  • Kaufleute
  • Dienstleister
  • Zahlungsanwendungen
  • Zahlungstore
  • Zahlungsabwickler

Für jedes Unternehmen gibt es unterschiedliche Stufen, und jede Stufe hängt davon ab, wie viel Geld Sie jährlich im Kreditkartenverkauf verarbeiten. Wenn Sie sehen möchten, ob Sie alles Notwendige tun, lesen Sie diese PCI-Konformitäts-Checkliste.

So funktioniert die PCI-Konformität

Als Händler müssen Sie 12 PCI-DSS-Anforderungen einhalten, die in sechs Hauptziele unterteilt werden können. Wenn Sie eines verpassen, könnte das PCI-DSS eine Geldstrafe bedeuten, die teuer werden kann.

Die sechs Hauptziele eines Unternehmens, das die PCI-Konformität aufrechterhalten muss:

  1. Pflegen Sie ein sicheres physisches Netzwerk
  2. Kundendaten schützen
  3. Pflegen Sie ein sicheres internes Netzwerk
  4. Beschränken Sie den Datenzugriff auf die erforderlichen Informationen
  5. Überwachen und testen Sie Datensicherheitssysteme
  6. Schulung der Mitarbeiter zur PCI-Konformität

Dazu müssen Sie Firewalls für die physische Sicherheit verwenden. Schutz der Daten durch Verschlüsselung oder wörtliche Sperre und Schlüssel; sicherstellen, dass Software und Apps sicher sind; und aktualisieren Sie die Antivirensoftware.

Nur diejenigen, die Zugriff benötigen, sollten in der Lage sein, Verbraucherdaten zu erfassen, und Sie sollten nachverfolgen können, wer was sieht. Testen Sie Ihre Sicherheitsmaßnahmen häufig, um sicherzustellen, dass sie wie beabsichtigt funktionieren, und halten Sie in Ihrem Unternehmen eine Richtlinie ein, um sicherzustellen, dass die Mitarbeiter die Bedeutung der PCI-Konformität verstehen und wissen, was mit Verbraucherdaten zu tun ist und was nicht.

Wer muss PCI-konform sein?

Wie bereits erwähnt, muss jedes Unternehmen, das Kreditkarten akzeptiert, PCI-konform sein. Das bedeutet, jeder von Finanzinstituten zu Etsy-Shops. Obwohl dies keine Gesetze sind, handelt es sich um Vorschriften, die von den Kreditkartenunternehmen festgelegt wurden. Damit Sie weiterhin Kreditkarten für Ihr Unternehmen akzeptieren können, müssen Sie diese einhalten.

Um die PCI-Konformität ein wenig weiter einzuschränken, finden Sie hier eine Liste, in der erläutert wird, wer andere Richtlinien befolgen muss:

  • Kaufleute: Jede Organisation, die eine oder mehrere der fünf wichtigsten Kreditkarten akzeptiert, die den PCI DSS Council gebildet haben
  • Händler-Dienstleister: Unternehmen, die Kreditkarteninformationen für andere Händler übertragen, verarbeiten oder speichern
  • Zahlungsanwendung: Geräte oder Online-Warenkörbe, die Kreditkarteninformationen übertragen, verarbeiten oder speichern, z. B. Kreditkartenleser, E-Commerce-Warenkörbe oder Kassensysteme
  • Zahlungs-Gateways: Der Mittelsmann für Kaufleute und Banken; Diese Unternehmen übertragen Daten zwischen einem Unternehmen, das eine Kreditkarte führt, und einer Bank, die eine Zahlungsanforderung entweder genehmigt oder ablehnt
  • Zahlungsabwickler: Diese All-in-One-Unternehmen stellen in der Regel das Händlerkonto, die Zahlungsanwendung und das Zahlungsgateway für Händler bereit

Als Kleinunternehmer fallen Sie wahrscheinlich unter die Händlerbeschreibung. Wenn Sie ein Unternehmen oder einen Dienstleister für die Zahlungsabwicklung gründen, qualifizieren Sie sich sowohl als Händler als auch als Dienstleister. Es kann kompliziert erscheinen, herauszufinden, zu welcher Ebene Sie gehören. Die folgende Tabelle kann Ihnen dabei helfen.

PCI-Konformitätsanforderungen

Viele Kleinunternehmer wissen möglicherweise nicht einmal, dass sie bestimmte Aktionen ausführen müssen, um PCI-konform zu sein. Ihr Händlerdienstleister oder Zahlungsabwickler bietet Ihnen PCI-Konformität, es müssen jedoch noch einige Schritte unternommen werden.

Sie müssen bestimmen, zu welcher PCI-Konformitätsstufe Ihr Unternehmen gehört.

PCI-Ebenen

Level 1Unternehmen, die mehr als 6 Millionen Visa-Transaktionen pro Jahr abwickeln
Level 2Unternehmen, die jährlich 1 bis 6 Millionen Visa-Transaktionen abwickeln
Stufe 3Unternehmen, die jährlich 20.000 bis 1 Million Visa-E-Commerce-Transaktionen abwickeln
Level 4Unternehmen, die jährlich weniger als 20.000 Visa-E-Commerce-Transaktionen abwickeln; Unternehmen, die jährlich bis zu 1 Million Visa-Transaktionen abwickeln (Nicht-E-Commerce)

Fragebogen zur Selbstbewertung der PCI-Konformität

Alle kleinen bis mittleren Händler (Stufe 4), die gängige Kreditkarten akzeptieren, müssen einen Selbstbewertungsfragebogen (Self Assessment Questionnaire, SAQ) für einen Teil der PCI-Compliance-Anforderungen ausfüllen. Sie müssen sich auf die Tabelle beziehen, um herauszufinden, welche SAQ Sie ausfüllen müssen.

Sie können auf die Karte auch über die offizielle PCI DSS-Website zugreifen.

Wenn Sie beispielsweise ein Online-Geschäft betreiben und Shopify als Zahlungs-Gateway und -Prozessor verwenden, füllen Sie das SAQ-A aus. Ein stationäres Unternehmen, das ein POS-System und ein Terminal wie Lightspeed verwendet, muss das SAQ-C-Dokument verwenden. Für die manuelle Eingabe mit einem virtuellen Terminal, z. B. wenn Sie telefonische Bestellungen oder Rechnungen online annehmen, müssen Sie SAQ-C-VT ausfüllen.

Dies ist nur eine von 13 Seiten, die Sie aus dem SAQ-A ausfüllen müssen.

Konformitätsbescheinigung

Die Konformitätsbescheinigung (AoC) ist ein Dokument, in dem Sie, wenn Sie eine Selbstprüfung durchführen, oder ein qualifizierter Sicherheitsprüfer (QSA) den Konformitätsgrad Ihres Unternehmens erklären. Das Formular muss ausgefüllt, unterschrieben und zusammen mit dem SAQ und den Scanergebnissen des anerkannten Scananbieters (ASV) eingereicht werden. Von den Unternehmen wird erwartet, dass sie jährlich einen jährlichen Tätigkeitsbericht einreichen.

In SAQ und AoC beantworten Sie folgende Fragen zu PCI-Compliance-Anforderungen:

  • Warten Sie die Firewall für Geschäftsgeräte
  • Ändern Sie die vom Hersteller angegebenen Passwörter
  • Verschlüsseln Sie die Übertragung von Kundendaten
  • Verwenden Sie aktualisierte Antivirensoftware
  • Schützen Sie gespeicherte Verbraucherdaten
  • Beschränken Sie den Zugriff auf Kundendaten
  • Pflegen Sie sichere Systeme und Apps
  • Stellen Sie Karteninhaberdaten nur auf der Basis von Informationen zur Verfügung, die Sie benötigen
  • Erstellen Sie eine eindeutige ID für jede Person mit Geschäftscomputerzugriff
  • Überwachen Sie den Zugriff auf Netzwerk- und Verbraucherdaten
  • Testen Sie die Datensicherheit regelmäßig
  • Pflegen Sie die Datenschutzrichtlinie

Wenn ein Händler einen Drittanbieter-Zahlungsprozessor verwendet, sind die meisten dieser PCI-Konformitätsanforderungen erfüllt. Sie müssen sich jedoch der Vorschriften bewusst sein und die PCI-Richtlinien für die Umwelt einhalten, z. B. Firewalls, sichere Kennwörter und die Einschränkung des Zugriffs auf Karteninhaberdaten.

PCI-Konformität mit Vulnerability Scan nachweisen

Abhängig davon, wie Sie Kreditkarten akzeptieren, müssen Sie möglicherweise regelmäßige Schwachstellenüberprüfungen mit einem ASV bezahlen und planen. Ein ASV ist ein Drittunternehmen, das vierteljährlich Schwachstellenscans durchführt, um die PCI-Konformität zu überprüfen. Der ASV bestimmt, ob Sie alles tun, um die Kreditkarten- und Kontaktinformationen der Verbraucher zu schützen.

Was ist eine ASV-Validierung?

Ein externer Schwachstellenscan wird von einem ASV durchgeführt, um festzustellen, ob Ihr Netzwerk sicher und für Verbraucher sicher ist. Ein ASV kann auch interne Scans durchführen, um Schwachstellen zu erkennen. Viele Händler entscheiden sich jedoch dafür, dies mit dem entsprechenden SAQ selbst zu tun.

Der externe Scan sucht nach Schwachstellen in Ihren Netzwerk-Firewalls, während ein interner Scan nach Lücken in den Firewalls Ihres Unternehmens sucht. Beides ist erforderlich, aber der interne Scan kann selbst durchgeführt werden.

Ein ASV gibt Ihnen vierteljährlich entweder ein Bestehen oder ein Nichtbestehen, das Sie dem PCI-DSS-Council vorlegen müssen. Wenn Sie Änderungen an Ihrem Netzwerk vornehmen, müssen Sie auch einen neuen Scan planen. Ein Fehler kann auftreten, wenn geringfügige Änderungen vorgenommen wurden. Beispielsweise kann Ihr Internetdienstanbieter (ISP) Ihre öffentlich zugängliche IP-Nummer ändern, und Ihr ASV scannt möglicherweise Ihre alte, was dazu führen kann, dass der Host nicht erkannt wird.

PCI-Konformität Letzter Schritt: Dokumentation einreichen

Sammeln Sie alle Ihre Dokumente, einschließlich eines vollständigen SAQ, der für Ihren Geschäftstyp geeignet ist, sowie den Nachweis, dass vierteljährliche externe Scans von einem ASV durchgeführt wurden, und alle anderen erforderlichen Dokumente. Sie senden diese entweder per E-Mail oder per Post an den PCI-DSS-Rat. Sie können auch einen QSA beauftragen, der Dokumente ausfüllt, organisiert und alles für Sie einreicht.

PCI Compliance Services & Gebühren

Um sicherzustellen, dass Ihr Unternehmen die PCI-Konformität beibehält, fallen möglicherweise verschiedene Gebühren an. Hierbei kann es sich um monatliche oder jährliche Gebühren handeln, deren Kosten zwischen 10 USD pro Monat und Hunderten von USD pro Jahr liegen. Dies hängt vom Dienst ab, von der Art des von Ihnen ausgewählten Zahlungsdienstleisters und davon, wie Sie mit AoC- und Schwachstellen-Scans umgehen möchten.

In der Regel erheben Zahlungsanbieter wie Square und Shopify keine separate Gebühr für die PCI-Konformität. Vielmehr werden die Compliance-Kosten in Ihre monatlichen Gebühren oder Transaktionsgebühren einbezogen. Für ein traditionelles Händlerkonto wird möglicherweise eine zusätzliche Konformitätsgebühr erhoben oder es wird eine Abrechnungsgebühr erhoben. Chase Merchant Services erhebt für die PCI-Konformität in seinem Umlageplan keine Gebühren.

Wenn Sie einen Schwachstellenscan benötigen oder einen QSA beauftragen möchten, können Sie mit PCI-Compliance-Gebühren rechnen:

  • ASV-Scans: Vierteljährliche Schwachstellenüberprüfungen Ihrer Geschäftsumgebung, z. B. für Firewalls, das Internet usw., werden in der Regel jährlich in Rechnung gestellt und liegen im Durchschnitt zwischen 200 und 1.000 US-Dollar
  • QSA-Service: Händler mit mehreren Standorten möchten möglicherweise einen QSA für die PCI-Konformität beauftragen. Die Gebühren beginnen bei 10.000 USD und variieren je nach Anzahl der Standorte und Komplexität der Netzwerke

Gebühren für die PCI-Konformität werden in der Regel erhoben, da diese Gebühren dazu dienen, die Datenserver auf dem neuesten Stand zu halten, zu warten und die Datensicherheit zu gewährleisten. Ihr Zahlungsdienstleister, Zahlungsgateway oder Dienstleister ist für die Datenübertragung und -speicherung zuständig. Es handelt sich also um eine wichtige und notwendige Gebühr, die jedoch erhoben wird.

PCI Noncompliance Gebühren

Eine andere zu berücksichtigende Gebühr, die auf Ihrer Händlerabrechnung erscheinen könnte, ist eine PCI-Nichteinhaltungsgebühr, obwohl sie anscheinend von Ihrem Zahlungsabwickler stammt, von den Kreditkartenunternehmen. Einige Abwickler erheben jedoch möglicherweise mehr als die üblichen 19,95 USD pro Monat, die Sie verlangen sind nicht konform. Füllen Sie also unbedingt Ihren SAQ aus und reichen Sie Ihre Unterlagen ein, um diese Gebühr zu vermeiden.

Was ist, wenn ich die PCI-Konformität nicht einhalte?

Viele Unternehmen sind sich nicht sicher, ob sie die PCI-Konformität einhalten, und das Problem mit dem Cyberkriminellen kann bekannte Sicherheitslücken in Websites, Firewalls und unsicheren Remotezugriffen ausnutzen, um wertvolle Kreditkartendaten zu erhalten. Betrachten Sie die jüngsten Datenverletzungen wie Equifax, als mehr als 182.000 Kreditkartennummern bekannt wurden. Diese Art der Verletzung schadet Kreditkartenunternehmen, Banken und kleinen Händlern.

Die PCI-Konformität ist zwar kein Satz von Gesetzen, sondern ein Satz von Standards, sie wird jedoch von den Kreditkartenunternehmen geregelt. Was ist der schlimmste Fall, wenn Sie weiterhin nicht konform sind?

Hier sind die verschiedenen Szenarien:

  • PCI-Nichteinhaltungsgebühr: Sie zahlen 19,95 USD (oder mehr) pro Monat, bis Sie nachweisen, dass Ihr Unternehmen PCI-konform ist
  • PCI-Nichteinhaltung in Ordnung: Ein Sicherheitsverstoß tritt auf und Verbraucherdaten gehen verloren. Ihre Aufzeichnungen zeigen Nichteinhaltung; Sie zahlen 5.000 bis 100.000 US-Dollar pro Monat für die Nichteinhaltung
  • PCI-Nichteinhaltung & Widerruf: Ihre übernehmende Bank widerruft Ihre Fähigkeit, Kreditkarten zu akzeptieren, was das Ende Ihres Geschäfts bedeuten könnte

Sie sollten die PCI-Konformität ernst nehmen und nicht davon ausgehen, dass Sie, nur weil Ihr Zahlungsprozessor konform ist, vom Haken sind. Befolgen Sie die Richtlinien und überprüfen Sie die offizielle Website auf Änderungen. Die PCI-Compliance-Anforderungen ändern sich mit der Datensicherheit.

PCI-Konformität: Häufig gestellte Fragen (FAQs)

Eine der häufigsten Fragen von Händlern zur PCI-Konformität lautet: "Was ist erforderlich?". Es gibt auch verwandte Fragen, die wir nachfolgend beantworten. Wenn wir Ihre Frage zur PCI-Konformität hier nicht behandelt haben, besuchen Sie unser Forum, um sie zu stellen. Wir werden unser Bestes tun, um sie dort zu beantworten.

Was ist PCI-Konformität?

Hierbei handelt es sich um eine Reihe von Standards, die von den fünf wichtigsten Kreditkarten der Branche erstellt wurden. Es soll dazu beitragen, Händler, Dienstleister und Verbraucher vor kostspieligen Datenverletzungen zu schützen.

Was passiert, wenn ich nicht PCI-konform bin?

Es können Vertragsverletzungsgebühren in Höhe von rund 19,95 USD pro Monat anfallen. Wenn Ihr Unternehmen in einen Datenverstoß verwickelt ist und Sie nicht PCI-konform sind, kann die übernehmende Bank Bußgelder in Höhe von 5.000 bis 100.000 USD pro Monat verhängen, um die damit verbundenen Verluste auszugleichen ( betrügerische Anklagen, Neuausstellung von Karten, Anwaltskosten usw.).

Ist die PCI-Konformität gesetzlich vorgeschrieben?

Der PCI-DSS-Rat hat eine Reihe von Vorschriften erstellt. Obwohl dies nicht gesetzlich vorgeschrieben ist, wird dies von Visa, MasterCard, American Express, Discover und JCB verlangt. Andernfalls dürfen Sie diese Kreditkarten in Ihrem Geschäft oder auf Ihrer Website nicht akzeptieren.

Muss ich die PCI-Konformität noch überprüfen, wenn ich Square verwende?

Die Antwort ist sowohl nein als auch ja. Solange Sie nur Square-Hardware und eine mobile Verbindung verwenden, müssen Sie Square nicht einzeln validieren, da Square PCI-kompatibel ist. Wenn Sie in Ihrem Geschäft Wi-Fi verwenden, um eine Verbindung herzustellen und Daten zu übertragen, müssen Sie dennoch einen SAQ ausfüllen, da Ihr internes Netzwerk gefährdet wäre.

Wer setzt die PCI-Konformität durch?

Die übernehmenden Banken oder Kreditkartenmarken sind diejenigen, die die PCI-Konformität regeln.

Was kostet es, PCI-konform zu sein?

Die Reichweite ist groß, da es davon abhängt, welche Handelsstufe Sie haben. Ein Level 1-Händler muss einen QSA beauftragen, der zwischen 10.000 und 15.000 US-Dollar kosten kann. Händler der Stufe 4 werden wahrscheinlich ASVs finden, die jährlich zwischen 200 und 1.000 US-Dollar für die Durchführung externer Schwachstellen-Scans verlangen. Möglicherweise müssen Sie auch 10 bis 20 US-Dollar monatlich an Ihren MSP zahlen, um die PCI-Konformität aufrechtzuerhalten.

Endeffekt

Die Aufrechterhaltung der PCI-Konformität sollte ganz oben auf der To-Do-Liste eines Händlers stehen. Die PCI-Konformitätsanforderungen sind einfach und nicht annähernd so kostspielig wie ein Datenverstoß, insbesondere wenn Sie nicht konform sind. Ihr Zahlungsprozessor oder MSP sollte selbst PCI-konform sein, was auch für Sie erforderlich ist.

Wenn Sie sich bei Fattmerchant anmelden, fallen keine zusätzlichen Kosten für die PCI-Konformität an. Der Dienstanbieter behält seine eigene PCI-Konformität bei und hilft Ihnen auch dabei, PCI-konform zu werden. Wenn Sie Fragen zur Aufrechterhaltung einer sicheren Geschäftsumgebung haben, wenden Sie sich an einen Fattmerchant-Kundenbetreuer. Beantragen Sie noch heute ein Konto.

Besuchen Sie Fattmerchant

Die Wahl des Herausgebers

So verwalten Sie QuickBooks Online-Bankfeeds

So verwalten Sie QuickBooks Online-Bankfeeds

So geben Sie Rechnungen in QuickBooks Online ein

So geben Sie Rechnungen in QuickBooks Online ein

So beantragen Sie einen SBA-Kredit in 6 einfachen Schritten

So beantragen Sie einen SBA-Kredit in 6 einfachen Schritten

Die Top 20 Small Business Accounting-Websites

Die Top 20 Small Business Accounting-Websites

Sales E-Mail-Vorlagen und Beispiele, die tatsächlich gelesen werden

Sales E-Mail-Vorlagen und Beispiele, die tatsächlich gelesen werden

Lightspeed Restaurant: Der ultimative Führer

Lightspeed Restaurant: Der ultimative Führer