Seit 2005 wurden in den USA bei über 9.000 Datenschutzverletzungen mehr als 10 Mrd. Kundendaten kompromittiert. Das ergeben die neuesten Zahlen des Privacy Rights Clearinghouse, das seit 2005 Datenschutz- und Sicherheitsverletzungen meldet, die Verbraucher betreffen. Um die Sicherheit der Kundendaten und das Vertrauen in das Zahlungssystem zu stärken, wurden Mindestanforderungen an die Datensicherheit aufgestellt. Visa, Mastercard, American Express, Discover und JCB haben 2006 den Payment Card Industry Security Standards Council (PCI SSC) gegründet, um die Sicherheitsstandards für Unternehmen zu koordinieren, die Kreditkartendaten verarbeiten.
Der Payment Card Industry Data Security Standard (PCI DSS) ist der internationale Sicherheitsstandard für alle Unternehmen, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Der PCI DSS sieht ein grundlegendes Schutzniveau vor und soll Betrug und Datenschutzverletzungen im gesamten Zahlungssystem verhindern. Er gilt für alle Organisationen, die Zahlungskarten annehmen oder verarbeiten. Bei Verstößen drohen empfindliche Strafen, Bußgelder und Kosten.
Der PCI-DSS bezieht sich auf drei zentrale Bereiche:
- Die Handhabung eingehender Kreditkartendaten und insbesondere deren sichere Erfassung und Übertragung
- Die sichere Speicherung der Daten, die in den 12 Sicherheitsbereichen der Norm beschrieben wird und die u. a. Verschlüsselung, laufende Kontrollen und Zugriffstests beinhaltet
- Eine jährliche Überprüfung der erforderlichen Sicherheitskontrollen, die Formulare, Fragebögen, externe Anfälligkeitstests und Audits durch externe Dienstleister beinhalten kann (siehe die Tabelle mit den vier Anforderungsebenen in der schrittweisen Anleitung weiter unten)
Unternehmen, die Kreditkartenzahlungen akzeptieren, müssen den PCI DSS einhalten – unabhängig von Volumen, Land oder Integrationsmethode. Die Einhaltung der Norm bietet Unternehmen folgende Vorteile:
- Höheres Kundenvertrauen durch gut geschützte Kartendaten
- Schutz vor Betrug und Datenschutzverletzungen
- Vermeidung von Bußgeldern bei Verstößen gegen die PCI-Norm
Rechtlicher Hinweis: Dieser Artikel dient lediglich der Orientierung und ist nicht als endgültige Empfehlung zu verstehen. Wir empfehlen, zur weiteren Klärung einen Payment Card Industry Data Security Standard (PCI DSS) Qualified Security Assessor (QSA) zu konsultieren.
So hilft Stripe Unternehmen bei der PCI-Konformität
Wenn Ihr Geschäftsmodell die Verarbeitung von Kartendaten vorsieht, müssen Sie u. U. die mehr als 300 im PCI DSS vorgesehenen Sicherheitsvorkehrungen treffen. Der PCI Security Standards Council hat bereits mehr als 1.800 Seiten an offizieller Dokumentation zum PCI DSS veröffentlicht. Und allein die Verfahrenshinweise zur Konformitätskontrolle nehmen über 300 Seiten ein.
Stripe kann den PCI-Aufwand für Unternehmen mit diversen tokenisierten Integrationsmethoden (wie Checkout, Elements, mobilen SDKs oder Terminal SDKs) erheblich reduzieren, damit diese selbst keine sensiblen Kreditkartendaten verarbeiten müssen.
- In Stripe Checkout und Stripe Elements gibt es ein gehostetes Zahlungsfeld für die Verarbeitung von Zahlungskartendaten. So können die Karteninhaber alle sensiblen Zahlungsinformationen in ein Zahlungsfeld eingeben, das direkt von unseren PCI-DSS-konformen Servern stammt.
- Mit dem mobilen SDK und dem Terminal SDK von Stripe können sensible Zahlungsinformationen zudem direkt an unsere PCI-DSS-validierten Server gesendet werden.
Unabhängig vom Integrationstyp ist Stripe als PCI-Partner für Sie da und kann auf verschiedene Weise helfen.
- Unser PCI-Assistent analysiert Ihre Integrationsmethode und gibt Ihnen Tipps, wie Sie die Compliance vereinfachen können.
- Wir benachrichtigen Sie im Voraus, wenn ein wachsendes Transaktionsvolumen eine Änderung Ihrer Konformitätsprüfungen erforderlich macht.
- Für Konzerne und Unternehmen, die der Qualitätskontrollpflicht unterliegen, weil sie Kreditkartendaten speichern oder einen besonders komplexen Zahlungsablauf nutzen, gibt es weltweit über 400 QSA-Anbieter. Wir können für Sie Kontakt zu Qualitätsprüfern herstellen, die sich mit den Integrationsmethoden von Stripe bestens auskennen.
Anleitung zur PCI-DSS-Konformität
1. PCI-Stufe ermitteln
Der erste Schritt auf dem Weg zur PCI-Konformität besteht darin, die Anforderungen an Ihr Unternehmen zu ermitteln. Es gibt vier verschiedene PCI-Stufen. In der Regel hängt die Einstufung Ihres Unternehmens davon ab, wie viele Kreditkartentransaktionen innerhalb von 12 Monaten abgewickelt werden.
Je nach dem gelten unterschiedliche Anforderungen etwa mit Blick auf die regelmäßigen Schwachstellenscans durch einen anerkannten Anbieter (Approved Scanning Vendor, ASV). Darüber hinaus gelten zusätzliche Anforderungen für Dienstleister, die direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) im Auftrag Dritter beteiligt sind (z. B. Zahlungsgateways, Zahlungsdienstleister und unabhängige Vertriebsorganisationen).
|
Konformitätsstufe
|
Trifft zu auf
|
Anforderungen
|
|---|---|---|
|
Level 1
|
|
|
|
Level 2
|
|
|
|
Level 3
|
|
|
|
Level 4
|
|
|
2. Integrationstyp und Nachweispflichten ermitteln
Wenn Sie Ihre PCI-Stufe ermittelt haben, müssen Sie bestimmen, welche Konformitätsnachweise Sie benötigen. Diese richten sich nach Ihrem Stripe-Integrationstyp, Ihrer Eigenschaft als Dienstleister und weiteren Faktoren.
Stufe 1
Unternehmen der Stufe 1 dürfen keine Selbsteinschätzung (SAQ) als Nachweis der PCI-Konformität verwenden. Sie benötigen einmal jährlich ein von einem QSA unterzeichnetes ROC-Formular als Konformitätsnachweis.
Stufe 2 bis 4
Für Unternehmen auf den Stufen 2 bis 4 gibt es unterschiedliche SAQ-Varianten, die sich nach der Zahlungsintegrationsmethode richten. Wenn Sie nicht sicher sind, welche Selbsteinschätzung für Sie geeignet ist, ermittelt der PCI-Assistent von Stripe automatisch, welchen Nachweis Sie benötigen.
|
Integration
|
Anforderung
|
Empfehlung
|
|---|---|---|
|
Checkout oder Elements
|
SAQ A |
Bei Checkout sowie Stripe.js und Elements werden alle eingegebenen Kartendaten in einem iFrame von der Stripe-Domain gehostet. In diesem Fall gelangen also keine Kundendaten auf Ihre Server.
|
|
Connect
|
SAQ A | Falls Sie Kartendaten ausschließlich über eine Connect-Plattform (wie Squarespace) erfassen, ermitteln wir, ob diese über die vorgeschriebene PCI-Dokumentation verfügt. |
|
Mobile SDK
|
SAQ A |
Das Mobile SDK von Stripe wird in Einklang mit den PCI-DSS-Anforderungen 6.3–6.5 entwickelt und geändert und über unsere PCI-konformen Systeme bereitgestellt. Wenn Sie ausschließlich UI-Komponenten aus unseren offiziellen SDKs für iOS oder Android verwenden oder ein Bezahlformular mit Elements in einer WebView erstellen, werden die Kartennummern direkt an Stripe weitergeleitet und viele PCI-Nachweispflichten entfallen. Bei anderen Verfahren wie einer intern programmierten Verarbeitung von Kartendaten sind ggf. weitere PCI-DSS-Anforderungen (6.3–6.5) zu erfüllen und SAQ A ist nicht ausreichend. Wie Sie die Einhaltung der aktuellen Vorgaben des PCI Security Standards Council am besten nachweisen, erfahren Sie bei einem PCI QSA. Wenn Ihre Anwendung die Dateneingabe auf Kundengeräten erfordert, ist SAQ A ausreichend. Falls mit Ihrer Anwendung (z. B. einer POS-App) Kartendaten verschiedener Personen verarbeitet werden, wenden Sie sich bitte an einen PCI Qualified Security Assessor (QSA), um sich über Möglichkeiten zum Nachweis der PCI-Konformität zu informieren. |
|
Stripe.js v2
|
SAQ A-EP |
Werden Kartendaten aus Formularen weitergegeben, die Sie auf Ihrer eigenen Seite hosten, müssen Sie zum Nachweis der PCI-Konformität einmal jährlich SAQ A-EP ausfüllen. Alternativ bieten sowohl Checkout als auch Elements die Flexibilität und Anpassungsfähigkeit selbst gehosteter Formulare und erfüllen gleichzeitig die PCI-Kriterien von SAQ A. |
|
Terminal
|
SAQ C |
Falls Kartendaten ausschließlich über Stripe Terminal erfasst werden, ist eine Validierung mit SAQ C zulässig. Wenn Sie für Ihre Stripe-Integration eines der aufgeführten Verfahren verwenden, sind Sie wie angegeben zum Nachweis der Konformität verpflichtet. |
|
Dashboard
|
SAQ C-VT |
Manuelle Kartenzahlungen über das Dashboard sind nur in Ausnahmefällen möglich und sollten nicht zur routinemäßigen Zahlungsabwicklung verwendet werden. Bieten Sie daher ein geeignetes Zahlungsformular oder eine mobile Anwendung für die Eingabe von Kartendaten an. Für die Sicherheit manuell eingegebener Kartendaten außerhalb von Stripe können wir nicht garantieren. Schützen Sie diese daher gemäß PCI-Anforderungen und füllen Sie zum Nachweis der PCI-Konformität einmal jährlich SAQ C-VT aus. |
|
Direct API
|
SAQ D |
Wenn Sie Kartendaten direkt an die Stripe-API weitergeben, werden diese Daten von Ihrer Integration direkt verarbeitet und Sie sind zum Nachweis der PCI-Konformität mit der besonders strengen SAQ D verpflichtet. So können Sie es sich einfacher machen:
Darüber hinaus ist unser Antibetrugstool Radar mitsamt Risikobewertung und Regeln nur bei Verfahren zur clientseitigen Tokenisierung verfügbar. |
Dienstleister
Wenn Sie direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) für Dritte beteiligt sind (wie Zahlungs-Gateways, Zahlungsdienstleister, unabhängige Vertriebsorganisationen usw.), werden Sie möglicherweise als Dienstleister eingestuft. Das bedeutet, dass Sie zusätzliche Anforderungen erfüllen müssen.
3. Evaluierung abschließen und Selbsteinschätzungen übermitteln
Sobald Sie ermittelt haben, welche Evaluierung Sie benötigen, führen Sie diese durch, füllen Sie die relevanten SAQ- bzw. ROC-Unterlagen aus und übermitteln Sie diese zur Überprüfung an Stripe.
Bei hohem Volumen sollten Sie einen in Ihrem Land zugelassenen QSA hinzuziehen. Dieser hilft Ihnen dabei, Ihre Systeme anhand der PCI-Anforderungen zu überprüfen und unterstützt Sie bei der Behebung etwaiger Mängel. Außerdem erstellt und unterzeichnet er die entsprechende Dokumentation, die Sie dann einmal pro Jahr an Stripe weiterleiten.
Unternehmen der Stufen 3 und 4 müssen meist die branchenspezifische Selbsteinschätzung zum PCI DSS ausfüllen. Weitere hilfreiche Händlermaterialien finden Sie beim PCI Security Standards Council. Stripe unterstützt Sie ebenfalls: Ihr persönlicher Assistent im PCI-Dashboard stellt Ihnen einige Fragen und erstellt dann die erforderliche Dokumentation für Sie. Ihre ausgefüllten Selbsteinschätzungen und ROC-Nachweise können Sie im PCI-Dashboard von Stripe hochladen.
4. Laufende Kontrolle
Beachten Sie, dass der Nachweis der PCI-Konformität keine einmalige Angelegenheit ist. Er muss jedes Jahr erneuert werden, damit Ihr Unternehmen auch dann die Compliance-Anforderungen erfüllt, wenn sich Datenbewegungen und die Kundeninteraktion verändern.
Der PCI DSS enthält zwar Anforderungen zur Verarbeitung und Speicherung von Karteninhaberdaten, bietet für sich genommen aber nicht in allen Zahlungsumgebungen ausreichenden Schutz. Daher ist die Umstellung auf eine sicherere Methode zur Kartenannahme mit tokenisierten Daten (wie Stripe Checkout, Elements oder mobile SDKs) ein viel effektiverer Weg, Ihr Unternehmen zu schützen. Dieser Ansatz bietet agilen Unternehmen eine Möglichkeit, Datenschutzverletzungen zu verhindern und das herkömmliche zeit- und kostenintensive Verfahren der PCI-Validierung zu umgehen.
Wenn Unternehmen wachsen, verändern sich auch Geschäftslogik und -prozesse. Daraus ergeben sich dann andere Compliance-Anforderungen. Dies ist z. B. dann der Fall, wenn ein Onlineunternehmen beschließt, ins Filialgeschäft einzusteigen, in neue Märkte vorzudringen oder ein Kundensupportcenter zu eröffnen. Wenn dabei Zahlungskartendaten involviert sind, sollten Sie proaktiv prüfen, ob dies Auswirkungen auf Ihre PCI-Validierung hat und die PCI-Konformität bei Bedarf erneut validieren.
Weitere Informationen zum Thema PCI-Konformität finden Sie auf der Website des PCI Security Standards Council. Wenn Sie bisher nur diesen Leitfaden und einige andere PCI-Dokumente gelesen haben, empfehlen wir Ihnen folgende Quellen:
- Priorisierter Ansatz für PCI DSS
- Anweisungen und Leitlinien zur Selbsteinschätzung (SAQ)
- FAQ zur Verwendung von SAQ-Zulassungskriterien zur Ermittlung der Anforderungen zur Vor-Ort-Bewertung
- FAQ zu den Pflichten für App-Entwickler für Verbrauchergeräte, die Zahlungskartendaten akzeptieren
So unterstützt Stripe Unternehmen bei der PCI-Konformität
Stripe ist ein Dienstleister der PCI-Stufe 1 und wird einmal jährlich von einem unabhängigen qualifizierten Sicherheitsgutachter (QSA) anhand der Anforderungen des PCI DSS zertifiziert. Das bedeutet, dass unsere Produkte von Haus aus sicher sind, was Ihren Compliance-Aufwand reduziert.
Unabhängig vom Integrationstyp ist Stripe als PCI-Partner für Sie da und kann auf verschiedene Weise helfen.
Hilfe für kleinere Unternehmen
Stripe vereinfacht den PCI-Aufwand für kleinere Unternehmen mit einem individuellen Konformitätsprozess mit vorausgefüllten SAQ, geführten Abläufen und sichereren Integrationsverfahren wie Checkout, Elements, mobilen SDKs und Terminal SDKs.
Individuelles Dashboard
Wenn Sie Stripe nutzen, analysieren wir Ihren Transaktionsverlauf und beraten Sie, wie Sie Ihren Compliance-Aufwand mit einem eigenen Dashboard reduzieren können.
Unternehmenswachstum
Wenn Ihr jährliches Transaktionsvolumen steigt, kann sich Ihre PCI-Stufe ändern. Stripe unterstützt Sie dabei und macht Sie auf geänderte Anforderungen aufmerksam, sobald Ihre PCI-Verlängerungsfrist näher rückt.
Mehrere Dienstleister
Wenn Ihr Unternehmen mehr als einen Abwickler verwendet, kann das die PCI-Konformität erschweren. Stripe entlastet Sie mit der Einreichung von Dienstleister-AOCs und erleichtert Ihnen so den Konformitätsnachweis.