KEMBAR78
Was versteht man unter PCI-DSS-Konformität? | Stripe

PCI-Konformität: Ein Leitfaden

Der Payment Card Industry Data Security Standard (PCI DSS) legt Mindeststandards für die Datensicherheit fest. In diesem detaillierten Leitfaden erfahren Sie, wie Sie für deren Einhaltung sorgen und wie Stripe Sie dabei unterstützen kann.

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. So hilft Stripe Unternehmen bei der PCI-Konformität
  3. Anleitung zur PCI-DSS-Konformität
    1. 1. PCI-Stufe ermitteln
    2. 2. Integrationstyp und Nachweispflichten ermitteln
    3. 3. Evaluierung abschließen und Selbsteinschätzungen übermitteln
    4. 4. Laufende Kontrolle
  4. So unterstützt Stripe Unternehmen bei der PCI-Konformität
    1. Hilfe für kleinere Unternehmen
    2. Individuelles Dashboard
    3. Unternehmenswachstum
    4. Mehrere Dienstleister
    5. Unterstützung von MOTO-Zahlungen (schriftliche oder telefonische Bestellungen)
  5. Mehr über Stripe erfahren 

Seit 2005 wurden in den USA mehr als 10 Milliarden Verbraucherdatensätze durch über 9.000 Datenpannen kompromittiert. Dies sind die neuesten Zahlen des Privacy Rights Clearinghouse, das seit 2005 Daten- und Sicherheitsverletzungen erfasst, die Verbraucher/innen betreffen. Um die Sicherheit von Verbraucherdaten und das Vertrauen in das Zahlungssystem zu verbessern, wurde ein Mindeststandard für Datensicherheit geschaffen. Visa, Mastercard, American Express, Discover und JCB gründeten 2006 das „Payment Card Industry Security Standards Council (PCI SSC)“, um Sicherheitsstandards für Unternehmen, die Kreditkartendaten verarbeiten, zu verwalten und zu überwachen.

Der Payment Card Industry Data Security Standard (PCI DSS) ist der internationale Sicherheitsstandard für alle Unternehmen, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Der PCI DSS sieht ein grundlegendes Schutzniveau vor und soll Betrug und Datenschutzverletzungen im gesamten Zahlungssystem verhindern. Er gilt für alle Organisationen, die Zahlungskarten annehmen oder verarbeiten. Bei Verstößen drohen empfindliche Strafen, Bußgelder und Kosten.

PCI DSS-Konformität umfasst drei Hauptkomponenten:

  1. Die Handhabung eingehender Kreditkartendaten und insbesondere deren sichere Erfassung und Übertragung
  2. Sichere Speicherung von Daten – wie in den 12 Sicherheitsbereichen des PCI-Standards beschrieben – beispielsweise Verschlüsselung, kontinuierliche Überwachung und Sicherheitstests für den Zugriff auf Kartendaten
  3. Eine jährliche Überprüfung der erforderlichen Sicherheitskontrollen, die Formulare, Fragebögen, externe Anfälligkeitstests und Audits durch externe Dienstleister beinhalten kann (siehe die Tabelle mit den vier Anforderungsebenen in der schrittweisen Anleitung weiter unten)

Unternehmen, die Kreditkartenzahlungen akzeptieren, müssen den PCI DSS einhalten – unabhängig von Volumen, Land oder Integrationsmethode. Die Einhaltung der Norm bietet Unternehmen folgende Vorteile:

  • Höheres Kundenvertrauen durch gut geschützte Kartendaten
  • Schutz vor Betrug und Datenschutzverletzungen
  • Vermeidung von Bußgeldern bei Verstößen gegen die PCI-Norm

Rechtlicher Hinweis: Dieser Artikel dient lediglich der Orientierung und ist nicht als endgültige Empfehlung zu verstehen. Wir empfehlen, zur weiteren Klärung einen Payment Card Industry Data Security Standard (PCI DSS) Qualified Security Assessor (QSA) zu konsultieren.

So hilft Stripe Unternehmen bei der PCI-Konformität

Wenn Ihr Geschäftsmodell die Verarbeitung von Kartendaten vorsieht, müssen Sie u. U. die mehr als 300 im PCI DSS vorgesehenen Sicherheitsvorkehrungen treffen. Der PCI Security Standards Council hat bereits mehr als 1.800 Seiten an offizieller Dokumentation zum PCI DSS veröffentlicht. Und allein die Verfahrenshinweise zur Konformitätskontrolle nehmen über 300 Seiten ein.

Stripe kann den PCI-Aufwand für Unternehmen mit diversen tokenisierten Integrationsmethoden (wie Checkout, Elements, mobilen SDKs oder Terminal SDKs) erheblich reduzieren, damit diese selbst keine sensiblen Kreditkartendaten verarbeiten müssen.

  • In Stripe Checkout und Stripe Elements gibt es ein gehostetes Zahlungsfeld für die Verarbeitung von Zahlungskartendaten. So können die Karteninhaber alle sensiblen Zahlungsinformationen in ein Zahlungsfeld eingeben, das direkt von unseren PCI-DSS-konformen Servern stammt.
  • Mit dem mobilen SDK und dem Terminal SDK von Stripe können sensible Zahlungsinformationen zudem direkt an unsere PCI-DSS-validierten Server gesendet werden.

Unabhängig vom Integrationstyp ist Stripe als PCI-Partner für Sie da und kann auf verschiedene Weise helfen.

  • Unser PCI-Assistent analysiert Ihre Integrationsmethode und gibt Ihnen Tipps, wie Sie die Compliance vereinfachen können.
  • Wir benachrichtigen Sie im Voraus, wenn ein wachsendes Transaktionsvolumen eine Änderung Ihrer Konformitätsprüfungen erforderlich macht.
  • Für Konzerne und Unternehmen, die der Qualitätskontrollpflicht unterliegen, weil sie Kreditkartendaten speichern oder einen besonders komplexen Zahlungsablauf nutzen, gibt es weltweit über 400 QSA-Anbieter. Wir können für Sie Kontakt zu Qualitätsprüfern herstellen, die sich mit den Integrationsmethoden von Stripe bestens auskennen.

Anleitung zur PCI-DSS-Konformität

1. PCI-Stufe ermitteln

Der erste Schritt auf dem Weg zur PCI-Konformität besteht darin, die Anforderungen an Ihr Unternehmen zu ermitteln. Es gibt vier verschiedene PCI-Stufen. In der Regel hängt die Einstufung Ihres Unternehmens davon ab, wie viele Kreditkartentransaktionen innerhalb von 12 Monaten abgewickelt werden.

Abhängig von Ihrem Level gelten für Sie unterschiedliche Anforderungen, einschließlich regelmäßiger Schwachstellenscans durch einen genehmigten Scanning-Anbieters (ASV). Darüber hinaus gelten zusätzliche Anforderungen für Dienstleister, bei denen es sich um Unternehmen handelt, die direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) im Auftrag eines anderen Unternehmens beteiligt sind (z. B. Payment Gateways, Zahlungsdienstleister und unabhängige Vertriebsorganisationen).

Konformitätsstufe
Trifft zu auf
Anforderungen
Level 1
  • Organisationen, die jährlich über 6 Mio. Transaktionen per Visa oder Mastercard bzw. über 2,5 Mio. Transaktionen per American Express abwickeln
  • bereits Datenschutzverletzungen erlebt haben
  • von einer Kreditkartenvereinigung (wie Visa oder Mastercard) Level 1 zugeordnet werden
  • Attestation of Compliance (Konformitätsbescheinigung, AOC) oder Report on Compliance (Konformitätsbericht, ROC) durch einen Qualified Security Assessor (qualifizierten Sicherheitsprüfer QSA)
  • Vierteljährlicher Netzwerk-Scan durch anerkannten Anbieter (Approved Scan Vendor, ASV)
Level 2
  • Organisationen mit 1 bis 6 Mio. Online-Transaktionen jährlich
  • Self-Assessment Questionnaire (Selbstauskunft, SAQ), Attestation of Compliance (Konformitätsbescheinigung, AOC) oder Report on Compliance (Konformitätsbericht, ROC)
  • Die Dokumentationen SAQ A, SAQ A-EP und SAQ D sind von einem qualifizierten PCI-Sicherheitsprüfer (PCI Qualified Security Assessor (QSA)) zu unterzeichnen, sofern Sie keinen eigenen PCI-Beauftragten (PCI-Certified Internal Security Assessor ISA haben1.
  • Vierteljährlicher Netzwerk-Scan durch anerkannten Anbieter (Approved Scan Vendor, ASV)
Level 3
  • Organisationen mit 20.000 bis 1 Mio. Online-Transaktionen jährlich
  • Organisationen mit weniger als 1 Mio. Transaktionen jährlich
  • Level 3 und 4 beinhalten die automatische Aufnahme in unser vereinfachtes Risikomanagementprogramm, das zahlreiche Faktoren wie die Integrationsart berücksichtigt und ggf. die Erstellung von SAQ Selbstauskünften gemäß PCI DSS erfordert.
  • Auf Level 3 ist ein vierteljährlicher Netzwerk-Scan durch einen anerkannten Anbieter (Approved Scan Vendor, ASV) vorgeschrieben.
Level 4
  • Organisationen mit weniger als 20.000 Online-Transaktionen jährlich
  • Organisationen mit bis zu 1 Mio. Transaktionen jährlich
  • Auf Level 4 ist ein vierteljährlicher Netzwerk-Scan durch einen anerkannten Anbieter (Approved Scan Vendor, ASV) vorgeschrieben.
1 "Level 2"-Händler sind bei SAQ A, SAQ A-EP und SAQ D zur Beauftragung eines QSA zur Konformitätsvalidierung verpflichtet.

2. Integrationstyp und Nachweispflichten ermitteln

Wenn Sie Ihre PCI-Stufe ermittelt haben, müssen Sie bestimmen, welche Konformitätsnachweise Sie benötigen. Diese richten sich nach Ihrem Stripe-Integrationstyp, Ihrer Eigenschaft als Dienstleister und weiteren Faktoren.

Stufe 1

Level-1-Unternehmen sind nicht berechtigt, ein SAQ zur Nachweisführung der PCI-Compliance zu verwenden. Sie müssen stattdessen ein ROC ausfüllen, das von einem QSA oder einer Führungskraft des Händlers unterzeichnet wird, um ihre PCI-Compliance jährlich zu validieren.

Stufe 2 bis 4

Für Unternehmen auf den Stufen 2 bis 4 gibt es unterschiedliche SAQ-Varianten, die sich nach der Zahlungsintegrationsmethode richten. Wenn Sie nicht sicher sind, welche Selbsteinschätzung für Sie geeignet ist, ermittelt der PCI-Assistent von Stripe automatisch, welchen Nachweis Sie benötigen.

Integration
Anforderung
Empfehlung
Checkout oder Elements
SAQ A
Bei Checkout sowie Stripe.js und Elements werden alle eingegebenen Kartendaten in einem iFrame von der Stripe-Domain gehostet. In diesem Fall gelangen also keine Kundendaten auf Ihre Server.
Connect
SAQ A Falls Sie Kartendaten ausschließlich über eine Connect-Plattform (wie Squarespace) erfassen, ermitteln wir, ob diese über die vorgeschriebene PCI-Dokumentation verfügt.
Mobile SDK
SAQ A

Das Mobile SDK von Stripe wird in Einklang mit den PCI-DSS-Anforderungen 6.3–6.5 entwickelt und geändert und über unsere PCI-konformen Systeme bereitgestellt. Wenn Sie ausschließlich UI-Komponenten aus unseren offiziellen SDKs für iOS oder Android verwenden oder ein Bezahlformular mit Elements in einer WebView erstellen, werden die Kartennummern direkt an Stripe weitergeleitet und viele PCI-Nachweispflichten entfallen.

Bei anderen Verfahren wie einer intern programmierten Verarbeitung von Kartendaten sind ggf. weitere PCI-DSS-Anforderungen (6.3–6.5) zu erfüllen und SAQ A ist nicht ausreichend. Wie Sie die Einhaltung der aktuellen Vorgaben des PCI Security Standards Council am besten nachweisen, erfahren Sie bei einem PCI QSA.

Wenn Ihre Anwendung die Dateneingabe auf Kundengeräten erfordert, ist SAQ A ausreichend. Falls mit Ihrer Anwendung (z. B. einer POS-App) Kartendaten verschiedener Personen verarbeitet werden, wenden Sie sich bitte an einen PCI Qualified Security Assessor (QSA), um sich über Möglichkeiten zum Nachweis der PCI-Konformität zu informieren.

Stripe.js v2
SAQ A-EP

Werden Kartendaten aus Formularen weitergegeben, die Sie auf Ihrer eigenen Seite hosten, müssen Sie zum Nachweis der PCI-Konformität einmal jährlich SAQ A-EP ausfüllen.

Alternativ bieten sowohl Checkout als auch Elements die Flexibilität und Anpassungsfähigkeit selbst gehosteter Formulare und erfüllen gleichzeitig die PCI-Kriterien von SAQ A.

Terminal
SAQ C

Falls Kartendaten ausschließlich über Stripe Terminal erfasst werden, ist eine Validierung mit SAQ C zulässig.

Wenn Sie für Ihre Stripe-Integration eines der aufgeführten Verfahren verwenden, sind Sie wie angegeben zum Nachweis der Konformität verpflichtet.
Dashboard
SAQ C-VT

Manuelle Kartenzahlungen über das Dashboard sind nur in Ausnahmefällen möglich und sollten nicht zur routinemäßigen Zahlungsabwicklung verwendet werden. Bieten Sie daher ein geeignetes Zahlungsformular oder eine mobile Anwendung für die Eingabe von Kartendaten an.

Für die Sicherheit manuell eingegebener Kartendaten außerhalb von Stripe können wir nicht garantieren. Schützen Sie diese daher gemäß PCI-Anforderungen und füllen Sie zum Nachweis der PCI-Konformität einmal jährlich SAQ C-VT aus.

Direct API
SAQ D

Wenn Sie Kartendaten direkt an die Stripe-API weitergeben, werden diese Daten von Ihrer Integration direkt verarbeitet und Sie sind zum Nachweis der PCI-Konformität mit der besonders strengen SAQ D verpflichtet. So können Sie es sich einfacher machen:

Darüber hinaus ist unser Antibetrugstool Radar mitsamt Risikobewertung und Regeln nur bei Verfahren zur clientseitigen Tokenisierung verfügbar.

Dienstleister

Wenn Sie direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) im Auftrag eines anderen Unternehmens beteiligt sind (z. B. Payment Gateways, Zahlungsdienstleister und unabhängige Vertriebsorganisationen), können Sie als Dienstleister eingestuft werden. Dienstleister führen in der Regel folgende Aufgaben aus:

  • Verarbeitung von Karteninhaberdaten für andere Unternehmen
  • Speicherung von Karteninhaberdaten im Auftrag von Kundinnen und Kunden
  • Übertragung von Karteninhaberdaten zwischen Systemen
  • Bereitstellung von Dienstleistungen, die die Sicherheit von Karteninhaberdaten oder die Sicherheit einer Karteninhaberumgebung beeinträchtigen können

Gängige Beispiele sind Payment Gateways, Hosting-Anbieter (die Karteninhaberdaten speichern), Datenzentren von Drittanbietern, Unternehmen, die Zahlungsanwendungen anbieten und Tokenisierungsdienstleister.

Als Dienstleister unterliegen Sie zusätzlichen Anforderungen, die Sie validieren müssen.

Dienstleistungskategorie

Kriterium

PCI-Anforderungen

Level 1

Alle Drittanbieter (TPPs)

Alle Datenspeicherunternehmen (Data Storage Entities, DSEs) mit insgesamt mehr als 300.000 Mastercard- und Maestro-Transaktionen pro Jahr

Jährliche Vor-Ort-Bewertung durch einen QSA
Vierteljährlicher Netzwerkscan durch einen ASV

Level 2

Alle DSEs mit insgesamt 300.000 oder weniger Mastercard- und Maestro-Transaktionen pro Jahr

Jährliche Selbsteinschätzung
Vierteljährlicher Netzwerkscan durch einen ASV

3. Evaluierung abschließen und Selbsteinschätzungen übermitteln

Sobald Sie ermittelt haben, welche Evaluierung Sie benötigen, führen Sie diese durch, füllen Sie die relevanten SAQ- bzw. ROC-Unterlagen aus und übermitteln Sie diese zur Überprüfung an Stripe.

Nutzer/innen mit hohem Volumen sollten einen in Ihrer Region zugelassenen QSA-Dienst hinzuziehen. Dieser hilft Ihnen dabei, Ihre Systeme anhand der PCI-Anforderungen zu überprüfen und unterstützt Sie bei der Behebung etwaiger Mängel. Außerdem erstellt und unterzeichnet er die entsprechende Dokumentation, die Sie dann einmal pro Jahr an Stripe weiterleiten.

Nutzer/innen der Stufen 3 und 4 müssen wahrscheinlich den für ihre Branche geeigneten PCI DSS-Selbsteinschätzungsfragebogen ausfüllen. Weitere Händlerressourcen stehen Ihnen über den PCI Security Standards Council zur Verfügung. Stripe unterstützt Sie ebenfalls: Unser maßgeschneiderter Assistent auf Ihrem PCI-Dashboard stellt Ihnen eine Reihe von Fragen und erstellt die erforderlichen Unterlagen für Sie. Sie können das Stripe PCI-Dashboard nutzen, um selbst ausgefüllte SAQ- oder ROC-Dokumente hochzuladen.

4. Laufende Kontrolle

Beachten Sie, dass der Nachweis der PCI-Konformität keine einmalige Angelegenheit ist. Er muss jedes Jahr erneuert werden, damit Ihr Unternehmen auch dann die Compliance-Anforderungen erfüllt, wenn sich Datenbewegungen und die Kundeninteraktion verändern.

Der PCI DSS enthält zwar Anforderungen zur Verarbeitung und Speicherung von Karteninhaberdaten, bietet für sich genommen aber nicht in allen Zahlungsumgebungen ausreichenden Schutz. Daher ist die Umstellung auf eine sicherere Methode zur Kartenannahme mit tokenisierten Daten (wie Stripe Checkout, Elements oder mobile SDKs) ein viel effektiverer Weg, Ihr Unternehmen zu schützen. Dieser Ansatz bietet agilen Unternehmen eine Möglichkeit, Datenschutzverletzungen zu verhindern und das herkömmliche zeit- und kostenintensive Verfahren der PCI-Validierung zu umgehen.

Wenn Unternehmen wachsen, verändern sich auch Geschäftslogik und -prozesse. Daraus ergeben sich dann andere Compliance-Anforderungen. Dies ist z. B. dann der Fall, wenn ein Onlineunternehmen beschließt, ins Filialgeschäft einzusteigen, in neue Märkte vorzudringen oder ein Kundensupportcenter zu eröffnen. Wenn dabei Zahlungskartendaten involviert sind, sollten Sie proaktiv prüfen, ob dies Auswirkungen auf Ihre PCI-Validierung hat und die PCI-Konformität bei Bedarf erneut validieren.

Weitere Informationen zum Thema PCI-Compliance finden Sie auf der Website des PCI Security Standards Council. Wenn Sie nur diesen Leitfaden und einige andere PCI-Dokumente lesen, empfehlen wir, mit den folgenden zu beginnen:

So unterstützt Stripe Unternehmen bei der PCI-Konformität

Stripe ist ein Dienstleister der PCI-Stufe 1 und wird einmal jährlich von einem unabhängigen qualifizierten Sicherheitsgutachter (QSA) anhand der Anforderungen des PCI DSS zertifiziert. Das bedeutet, dass unsere Produkte von Haus aus sicher sind, was Ihren Compliance-Aufwand reduziert.

Unabhängig vom Integrationstyp ist Stripe als PCI-Partner für Sie da und kann auf verschiedene Weise helfen.

Hilfe für kleinere Unternehmen

Stripe vereinfacht den PCI-Aufwand für kleinere Unternehmen mit einem individuellen Konformitätsprozess mit vorausgefüllten SAQ, geführten Abläufen und sichereren Integrationsverfahren wie Checkout, Elements, mobilen SDKs und Terminal SDKs.

Individuelles Dashboard

Wenn Sie Stripe nutzen, analysieren wir Ihren Transaktionsverlauf und beraten Sie, wie Sie Ihren Compliance-Aufwand mit einem eigenen Dashboard reduzieren können.

Unternehmenswachstum

Wenn Ihr jährliches Transaktionsvolumen steigt, kann sich Ihre PCI-Stufe ändern. Stripe unterstützt Sie dabei und macht Sie auf geänderte Anforderungen aufmerksam, sobald Ihre PCI-Verlängerungsfrist näher rückt.

Mehrere Dienstleister

Wenn Ihr Unternehmen mehr als einen Abwickler verwendet, kann das die PCI-Konformität erschweren. Stripe entlastet Sie mit der Einreichung von Dienstleister-AOCs und erleichtert Ihnen so den Konformitätsnachweis.

Unterstützung von MOTO-Zahlungen (schriftliche oder telefonische Bestellungen)

Stripe unterstützt Unternehmen, die MOTO-Zahlungen akzeptieren, durch die Integration mit Diensten von Drittanbietern für eine sichere telefonbasierte Kartenerfassung. Diese Dienste automatisieren die Erfassung von Kartenangaben mithilfe von Technologien wie Tonwahl, Übermittlung von Kartennummern oder Spracherkennung und machen es überflüssig, dass eine Person Kartendaten manuell transkribieren muss. Dieser Ansatz kann den Aufwand für die Einhaltung der PCI-Vorschriften erheblich reduzieren, da kein „Mensch in der Schleife“ erforderlich ist. Für MOTO-Anwendungsfälle gibt es drei wahrscheinliche SAQ-Ergebnisse:

  • SAQ-A: Anwendungsszenario für Pay Connector, bei dem Karteninhaberdaten telefonisch mit einer PCI-konformen Drittanbieterlösung erfasst werden und Kartenangaben direkt an Stripe übermittelt werden. In diesem Anwendungsszenario sollten Nutzer/innen keinen Zugriff auf die Kartenangaben haben, während diese per Telefon präsentiert werden, und keine Karteninhaberdaten in ihrer Umgebung speichern, verarbeiten oder übertragen.
  • SAQ C-VT: Nutzer/innen erhalten Kartendaten über MOTO-Zahlungen, die direkt in das Stripe-Dashboard eingegeben werden. In dieser Situation sollte die manuelle Übermittlung nur für begrenzte, nicht wiederkehrende Anwendungsfälle und in dem Wissen erfolgen, dass die elektronische Speicherung von Karteninformationen nicht zulässig ist.
  • SAQ-D: Jeder Use case, bei dem Nutzer/innen Karteninhaberdaten von ihrer Kundschaft erfassen und diese in ihrer Umgebung elektronisch speichern.

Für spezifische Anleitungen zur PCI-Konformität und Ihrer MOTO-Implementierung empfehlen wir Ihnen, sich an einen PCI Qualified Security Assessor (QSA) zu wenden.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.