Der ultimative Leitfaden zur POS-Compliance (+ PCI DSS-Compliance-Standards)

POS-Compliance-Richtlinien sorgen für einen sicheren Zahlungsprozess für Händler und schützen letztlich die Daten der Endkunden. Wenn Sie Zahlungen über ein POS-System akzeptieren, ist ein grundlegendes Verständnis der POS-Compliance (auch bekannt als PCI DSS-Standard) Ihr Schlüssel, um verlorenes Kundenvertrauen und Nicht-Compliance-Gebühren zu vermeiden.

Mit meinem Hintergrund im Rechnungswesen führe ich Sie durch die wichtigsten Aspekte der POS-Compliance – von den PCI DSS-Anforderungen bis hin zu Best Practices für deren Umsetzung und Einhaltung.

In diesem Leitfaden beleuchten wir zentrale Themen, darunter die Grundlagen der POS-Compliance, PCI DSS-Anforderungen, wie Sie PCI DSS-konform werden, und weitere Strategien zur Aufrechterhaltung der Compliance. Am Ende haben Sie ein klares Verständnis dafür, wie Sie POS-Compliance erfolgreich angehen und einhalten können.

Was ist PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Richtlinien, die Sie einhalten müssen, wenn Sie Kredit- oder Debitkartendaten erfassen, verarbeiten, übertragen oder speichern.

Nehmen wir an, Sie betreiben einen E-Commerce-Shop. Wenn ein Kunde mit seiner Debit- oder Kreditkarte bezahlt, sammelt und verarbeitet Ihr System diese sensiblen Informationen für den Zahlungsvorgang —  und genau dort liegt das Problem.

Es besteht immer das Risiko, dass jemand – wie z. B. ein Mitarbeiter mit Zugriffsrechten – die Kreditkarteninformationen von Kunden nutzt, um Geld zu stehlen oder sie an Cyberkriminelle zu verkaufen. PCI-Compliance stellt sicher, dass Karteninhaberdaten geschützt sind, indem sie Ihr Unternehmen vor Sicherheitsverletzungen bewahrt.

Wird ein Karteninhaber betrogen, verliert er das Vertrauen in Ihr Unternehmen und in das ausstellende Finanzinstitut. Genau deshalb haben AMEX, MasterCard, Visa, JCB und Discover den PCI Security Standards Council (PCI SSC) gegründet – die Institution, die PCI und verwandte Sicherheitsstandards verwaltet.

Muss mein Unternehmen PCI-konform sein?

Ja. Jedes Unternehmen, das Debit- oder Kreditkartenzahlungen akzeptiert bzw. Kartendaten verarbeitet, überträgt oder speichert, muss PCI-konform sein – unabhängig von anderen Faktoren.

Die PCI-Compliance ist selbst dann notwendig, wenn Sie nur eine einzige Debit- oder Kreditkartentransaktion durchführen. Sie müssen jährlich einen Self-Assessment Questionnaire (SAQ) ausfüllen und sich vierteljährlich auditieren lassen, um PCI-konform zu bleiben. 

Welchen SAQ Sie genau ausfüllen müssen, hängt davon ab, in welche Compliance-Stufe Sie fallen (mehr dazu im nächsten Abschnitt).

Join our Newsletter

Join North America’s most innovative collective of Tech CFOs.

Phone

This field is for validation purposes and should be left unchanged.

Your email*

By submitting this form, you agree to receive our newsletter, and occasional emails related to The CFO Club. You can unsubscribe at any time. For more details, please review our Privacy Policy. We're protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Wie werde ich PCI-konform?

Es gibt verschiedene Schritte, die Sie befolgen müssen, um sicherzustellen, dass Sie die richtigen PCI-Richtlinien einhalten, wenn Sie Kartenzahlungen über POS-Terminals oder eine E-Commerce-Website akzeptieren:

1. Bestimmen Sie Ihr PCI-Level

Die PCI-Richtlinien klassifizieren Unternehmen in vier Stufen, hauptsächlich basierend auf der Anzahl der Transaktionen:

• Level 1: Händler, die jährlich mehr als sechs Millionen Visa- oder MasterCard-Transaktionen abwickeln oder Unternehmen, die bereits Opfer eines Datenverstoßes waren.
• Level 2: Händler, die jährlich mehr als eine Million und weniger als sechs Millionen Visa- oder MasterCard-Transaktionen abwickeln.
• Level 3: Händler, die jährlich mehr als 20.000 und weniger als eine Million Visa- oder MasterCard-E-Commerce-Transaktionen abwickeln.
• Level 4: Alle anderen.

2. Informieren Sie sich über die PCI DSS-Anforderungen

Einige PCI DSS-Anforderungen gelten für alle und andere hängen von Ihrem PCI-Level ab. Hier sind einige der häufigsten Anforderungen:

• Jährlicher SAQ: Unternehmen der Stufen 2, 3 und 4 müssen den SAQ jährlich einreichen. Welcher SAQ genau erforderlich ist, hängt von Ihrer Stufe und Ihrem Geschäftsmodell ab.
• Attestation of Compliance (AOC): Die AOC ist eine formale Erklärung, dass Sie die PCI-Compliance-Anforderungen erfolgreich erfüllt haben. Unternehmen jeder Stufe müssen die AOC jährlich einreichen, um konform zu bleiben.
• Vierteljährlicher Netzwerkscan: Vierteljährliche Scans durch einen Approved Scanning Vendor (ASV) sind für Unternehmen der Stufen 1, 2 und 3 verpflichtend. Hat ein Unternehmen der Stufe 4 extern erreichbare IP-Adressen (weil die Systeme online angebunden sind und Karteninhaberdaten speichern, verarbeiten oder übertragen), sind auch hier vierteljährliche Scans erforderlich.

Hier einige Beispiele für stufenspezifische Anforderungen:

• Prüfungsanforderungen: Level 1-Prüfungen sind umfangreicher und erfordern ein Audit vor Ort durch einen Qualified Security Assessor (QSA). Während des Audits prüft der QSA u. a. die implementierten Kontrollen, Richtlinien und Prozesse. Stufe 2, 3 und 4 können sich per Selbstbewertung mit den jeweiligen SAQs prüfen.
• Anforderungen an Penetrationstests: Level 1-Händler müssen jährlich interne und externe Penetrationstests durchführen lassen. Für andere Level ist es zwar nicht zwingend vorgeschrieben, wird aber dringend empfohlen, um die Sicherheit zu verbessern.
• Dokumentations- und Nachweisführung: Unternehmen der Stufe 1 benötigen umfassende Dokumentation, Nachweiserbringung und Validierung durch einen QSA. Auch bei niedrigeren Stufen sind Dokumente und Nachweise erforderlich, der Umfang ist jedoch deutlich geringer und wird meist intern geregelt.

3. Erfüllen Sie die PCI DSS-Anforderungen

Je nach aktueller Infrastruktur und PCI-Stufe sind verschiedene Schritte erforderlich, um die PCI-Richtlinien einzuhalten. Ein kurzer Überblick:

• Füllen Sie einen Self-Assessment Questionnaire (SAQ) aus: Der erste Schritt ist das Ausfüllen eines PCI DSS SAQ, abhängig von Ihrem Level und den im SAQ genannten Kriterien. Das PCI SSC empfiehlt, beim Zahlungsdienstleister rückzufragen, welcher SAQ zwingend erforderlich ist. Durch das Ausfüllen wird die Einhaltung der PCI-Standards validiert. Werden viele Transaktionen verarbeitet, ist evtl. ein Drittanbieter-Audit anstelle eines SAQ nötig.
• Führen Sie den ersten Schwachstellenscan durch: Händler müssen mit einem ASV zusammenarbeiten, um vierteljährliche (interne und externe) Schwachstellenscans durchzuführen. Werden Sicherheitslücken gefunden, müssen diese behoben werden.
• Führen Sie den ersten jährlichen Penetrationstest durch: Jährlich muss ein manueller Penetrationstest durchgeführt werden, um Schwachstellen im System zu erkennen. So wird geprüft, ob die geforderten PCI DSS-Kontrollmaßnahmen z. B. hinsichtlich Scope, Schwachstellenmanagement, Methodik und Segmentierung vorhanden sind.
• Beheben Sie Schwachstellen: Gefundene Schwachstellen müssen umgehend beseitigt werden. Haben Sie bereits vor der Zahlungsannahme PCI-Compliance erlangt und es kommt dennoch zum Datenverstoß, drohen Strafzahlungen. Es kann sinnvoll sein, einen Profi oder PCI DSS selbst hinzuzuziehen, um Schwachstellen schnell anzugehen.
• Audit durchführen lassen: Große Händler müssen sich von einem Drittanbieter auditieren lassen, anstatt selbst einen SAQ einzureichen. Starten Sie das Audit erst, wenn Sie intern geprüft und die Compliance bestätigt haben.

Wichtig: Für ein Bestehen der Scans und Tests sind zahlreiche Sicherheitsmaßnahmen nötig, z. B. Firewalls und Antivirensoftware installieren, um ein sicheres Netzwerk zu schaffen, Karteninhaberdaten verschlüsseln und Zugriffssteuerungen einführen.

Im PCI DSS Reference Guide finden Sie weitere Details, wie Sie die PCI DSS-Anforderungen erfüllen können.

4. Einreichung der erforderlichen Unterlagen

Alle bisher durchgeführten Schritte müssen lückenlos dokumentiert werden. Eingereicht werden müssen u. a. folgende Dokumente:

• Geltender SAQ 
• AOC
• Report on Compliance (ROC)
• Netzwerk-Scan-Berichte
• Berichte zu Penetrationstests
• Nachweis über Sicherheitskontrollen
• Ein Notfallplan zur Vorfallberichterstattung

Clever PCI-konform werden

Wissen, was im Hintergrund passiert, ist wichtig – aber es gibt einen effizienteren Weg zur Compliance als den manuellen. Das Stichwort: Delegation.

Es gibt zahlreiche Plattformen, die POS-Hardware, POS-Apps, Zahlungsabwicklungen und andere Zahlungssysteme bereitstellen, mit denen Sie Zahlungen sicher annehmen und gleichzeitig konform bleiben.

Plattformen wie Revel Systems, ACID POS, Lightspeed und Square bieten einsatzbereite Infrastrukturen, mit denen die manuelle Compliance entfällt. Diese Plug-and-Play-Lösungen senken die Compliance-Kosten und ermöglichen Ihnen, direkt loszulegen.

Our team analyzes POS software constantly, and these are the best systems they’ve found. If you want to go the easy (compliance) route, this is a good place to start looking:

1. 1. Stax Pay — Am besten für die Integration von Zahlungsmanagement mit Analysen
2. 2. KORONA POS — Am besten für fortgeschrittene Bestandsverfolgung
3. 3. Payment Depot — Am besten für E-Commerce, mobile und physische Zahlungsterminals
4. 4. Lavu — Am besten für iPad-gesteuerte Restaurant-POS-Systeme
5. 5. ePOS — Am besten für Skalierbarkeit
6. 6. Helcim — Am besten für kleine Unternehmen, um Gebühren zu sparen
7. 7. Vend — Beste POS-Software für Einzelhandelsgeschäfte
8. 8. Merchant One — Am besten für direkte, kostengünstige Verarbeitung
9. 9. Clover — Am besten für Hardware-Optionen
10. 10. Toast — Beste POS-Software für Restaurants mit mehreren Standorten

Kosten der PCI-Compliance

Die genauen Kosten der PCI-Compliance hängen von Faktoren wie Größe und Standort des Unternehmens, jährlichem Transaktionsvolumen und davon ab, ob Sie Kartenzahlungen persönlich oder online erfassen und verarbeiten.

Hinzu kommen unternehmensindividuelle Kosten. Beispielsweise könnten Sie sich entscheiden, Geld für das Schulen Ihrer Mitarbeiter zu investieren oder auf ein EMV-fähiges POS umzurüsten.

Es gibt zwar keine allgemeingültige Kostenschätzung für PCI-Compliance, aber einige Richtwerte lassen sich abschätzen. Ein Beispiel: Für kleine Unternehmen liegen die typischen Kosten für die fortlaufende PCI-Compliance im Bereich von 300 bis 600 US-Dollar.

Die Kosten für Schulungen, die Entwicklung von Richtlinien sowie die Aktualisierung von Software und Hardware sind hierbei jedoch nicht enthalten und können je nach aktuellem Stand einige Tausend Dollar betragen. Für große Unternehmen können die Kosten, um im guten Stand zu bleiben, deutlich höher ausfallen und zwischen 60.000 und 100.000 US-Dollar pro Jahr liegen.

Kosten der PCI-Nichtkonformität

Die Kosten einer PCI-Nichtkonformität sollten Ihnen mehr Sorgen bereiten als die Kosten der Einhaltung. Bußgelder für Nichtkonformität sind zwar nicht veröffentlicht oder offiziell gemeldet, werden jedoch mit 5.000 bis 10.000 US-Dollar pro Monat an Strafen beziffert, bis das Problem behoben ist.

Das beinhaltet noch nicht die Kosten, die im Falle von Betrug oder einer Datenschutzverletzung auf Sie zukommen können. Mit Betrug oder einer Datenpanne umzugehen, kann finanzielle Verluste und kostenintensive Gerichtsverfahren beinhalten, zusätzlich zu einem Reputationsverlust. Nehmen Sie das Beispiel Target – das Unternehmen gab an, über 200 Millionen US-Dollar zahlen zu müssen, als sie mit einem Kreditkarten-Datenleck konfrontiert waren, darunter 18,5 Millionen US-Dollar für Rechtsstreitigkeiten.

POS-Compliance ist entscheidend für das Reputationsmanagement

Sehen Sie POS-Compliance nicht als Belastung, sondern als Investition in den Schutz von Kundendaten gegen Hacker und Datenpannen, die Ihrem Ansehen schaden können.

PCI-Compliance kann komplex erscheinen, aber mit dem richtigen Partner wird der Prozess deutlich einfacher. Der einfachste Weg, konform zu bleiben, ist natürlich die Nutzung von fertigen Lösungen, die konforme POS-Software und Hardware bieten.

Möchten Sie mehr darüber erfahren, wie Sie eine technikaffine Finanzfunktion führen können? Abonnieren Sie unseren kostenlosen Newsletter.