Die Payment Card Industry Data Security Standards [Datensicherheitsstandards der Zahlungskartenindustrie] (PCI DSS) wurden vom PCI Security Standards-Rat (SSC) zum Schutz von Karteninhaberdaten festgelegt. Jeder Händler, der Kartentransaktionen akzeptiert, muss diese Standards einhalten, um mit Kreditkartenunternehmen, Banken und Zahlungsabwicklern Geschäfte zu tätigen.
Für den Fall, dass das System eines Händlers kompromittiert oder gehackt wird und sensible Informationen gestohlen werden, kann er haftbar gemacht werden und folgenden juristischen Konsequenzen unterliegen:
- Bußgelder durch die Kartenverbände.
- Kriminaltechnische Untersuchungen.
- Emissionsbanken können für die Kosten der Neuausstellung (einschließlich möglicher Betrugsverluste und Betrugsüberwachungskosten) entschädigt werden.
- Gerichtsverfahren.
- Bußgelder der Regierung.
Einige bekannte Unternehmen haben häufig öffentlich gemachte Verstöße erlitten, die auch ihren Ruf und ihre Marken geschädigt haben. Wenn Sie PCI-konform sind, ist es viel unwahrscheinlicher, dass Sie einen Verstoß erleiden sowie viel unwahrscheinlicher, dass ein solcher Verstoß zum Diebstahl sensibler Informationen führt, da es bei Ihnen keine Informationen gibt, die gestohlen werden können.
Die gesamte Hardware und Software, die Lightspeed Payments Ihnen zur Verfügung stellt, ist PCI-konform. Sie müssen jedoch bestimmte Schritte unternehmen, um sicherzustellen, dass Sie mit sensiblen Karteninformationen verantwortungsbewusst umgehen.
Umgang mit sensiblen Karteninformationen
Während Karteninformationen erfasst werden müssen, um eine Transaktion zu autorisieren, dürfen sensible Karteninformationen nach erfolgter Autorisierung nicht gespeichert werden. Bestimmte Informationen können gespeichert werden, wenn dafür ein triftiger geschäftlicher Grund vorliegt, wie beispielsweise der Name des Karteninhabers oder das Ablaufdatum der Karte. Karteninformationen, die als sensibel gelten, können jedoch niemals gespeichert werden. Ausgenommen von dieser Regel ist die Primary Account Number (PAN) auf der Vorderseite der Karte, die nur unlesbar gespeichert werden darf. Aus diesem Grund können Sie in Lightspeed nur die letzten 4 Ziffern einer Kreditkartennummer anzeigen – der Rest wird unlesbar gemacht.
Die folgenden Informationen auf einer Kreditkarte gelten als sensible Informationen:
Richtlinien für den Umgang mit sensiblen Informationen
Wenn Sie mit sensiblen Karteninformationen arbeiten müssen, können Sie das Risiko durch folgende Schritte verringern:
- Senden Sie niemals ungeschützte Kartennummern (PANs) über Messaging-Technologien (wie E-Mail, Instant Messaging, Chat, SMS usw.).
- Implementieren Sie Zugriffskontrollmaßnahmen wie physische Sperren oder Passwörter, um den Zugriff auf diejenigen zu beschränken, für welche dieser unbedingt erforderlich ist.
- Zuweisen einer eindeutigen Identifikation (ID) zu jeder Person mit Zugang. Dadurch wird sichergestellt, dass Aktionen an kritischen Daten und Systemen von bekannten und autorisierten Benutzern durchgeführt werden und auf diese zurückverfolgt werden können.
- Schützen Sie Geräte, die Zahlungskartendaten durch direkte physische Interaktion mit der Karte erfassen, vor Manipulation und Austausch. Dazu gehören regelmäßige Inspektionen der Oberflächen von POS-Geräten, um Manipulationen zu erkennen, und Schulung des Personals, um auf verdächtige Aktivitäten aufmerksam zu machen.
- Implementieren Sie ein formelles Programm für Sicherheitsbewusstsein, um alle Mitarbeiter auf die Bedeutung der Sicherheit von Karteninhaberdaten aufmerksam zu machen.
- Überprüfen Sie potenzielle Mitarbeiter vor der Einstellung, um das Risiko von Angriffen aus internen Quellen zu minimieren. Das empfohlene Screening umfasst die Überprüfung des früheren Erwerbsverlaufs, des Vorstrafenregisters, der Kredithistorie und der Referenzen.
Lightspeed nimmt PCI-Konformität ernst
Lightspeed unternimmt drastische Schritte, um die Einhaltung von PCI DSS sicherzustellen. Unser technischer Sicherheitsansatz ist darauf ausgelegt, Sie und Ihre Kunden zu schützen.
- Wir bieten nur PCI-konforme Hardware und Software und pflegen eine PCI-konforme Plattform.
- Lightspeed ist der registrierte Händler für jede Transaktion. Wir handeln mit den Banken in Ihrem Namen.
- Wir halten uns an branchenführende PCI-Standards, um unser Netzwerk zu verwalten, unsere Web- und Kunden-Anwendungen zu schützen sowie Richtlinien in unserem gesamten Unternehmen festzulegen.
- Das integrierte Zahlungssystem von Lightspeed bietet eine nahtlose Verschlüsselung für jede Transaktion am Verkaufspunkt an und versieht Daten mit einem Token, sobald sie unsere Server erreichen.
Die Welt von PCI DSS entwickelt sich ständig weiter, und von Zeit zu Zeit können sich die Anforderungen ändern. Lightspeed Payments behält den Überblick über alle Änderungen und behält die Branche im Auge, damit Sie dies nicht tun brauchen.
Für weitere Informationen:
Um die PCI-Konformität aufrechtzuerhalten, können regelmäßige Überprüfungen und die Einreichung von Dokumenten im Laufe eines Jahres sowie die Kenntnis und das Verfolgen von Veränderungen in der Branche erforderlich sein. All das übernimmt Lightspeed für Sie, aber wenn Sie mehr darüber wissen möchten, können Sie sich unseren kurzen Überblick anschauen. Wenn Sie zufrieden sind zu wissen, dass wir alles in der Hand haben, können Sie den Abschnitt Was Lightspeed für Sie übernimmt links liegen lassen.
PCI-Stufen
Der erste Schritt, um PCI-konform zu werden, besteht darin, festzustellen, welche Standards Sie erfüllen müssen. Es gibt vier Stufen, aber die Schwellenwerte für das Unterschreiten einer bestimmten Stufe können von Kartenanbieter zu Kartenanbieter variieren. Die Stufen und Schwellenwerte für die vier großen Kartenunternehmen sind wie folgt:
| Visa | Mastercard | AMEX | Discover | |
|
Stufe 1 |
Gilt für jeden Händler,
|
Gilt für jeden Händler,
|
Gilt für jeden Händler, der:
|
Gilt für jeden Händler, der:
|
| Stufe 2 |
|
|
|
|
| Stufe 3 |
|
|
|
Alle anderen Händler. |
| Stufe 4 |
|
Alle anderen Händler. | n. z. | n. z. |
Nachdem Sie die Stufe identifiziert haben, zu der Sie gehören, können Sie Ihre Anforderungen an die PCI-Konformität bestimmen.
Händler, die zu den Stufen 2, 3 und 4 gehören, müssen einen jährlichen Fragebogen zur Selbsteinschätzung (SAQ) ausfüllen. Der SAQ besteht aus einer Reihe von Ja- oder Nein-Fragen, welche die Sicherheitsanforderungen für Ihr Unternehmen abdecken. Da verschiedene Arten von Unternehmen unterschiedliche Anforderungen haben, gibt es mehrere Variationen des SAQ. Sehen Sie in der folgenden Tabelle nach, welcher Fragebogen für Ihr Unternehmen geeignet ist:
| Fragebogen | Wie akzeptieren Sie Kreditkarten? |
|
A |
Händler ohne Karte (E-Commerce oder Post-/Telefonbestellung), die alle Datenfunktionen von Karteninhabern vollständig an PCI-DSS-validierte Drittanbieter ausgelagert haben, ohne elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten in den Systemen oder in den Räumlichkeiten des Händlers. Gilt nicht für persönliche Zahlungsabwicklungen. |
| A-EP | E-Commerce-Händler, die die gesamte Zahlungsabwicklung an PCI-DSS-validierte Drittanbieter auslagern und über eine oder mehrere Webseiten verfügen, die Karteninhaberdaten nicht direkt erhalten, aber die Sicherheit der Zahlungstransaktion beeinträchtigen können. Keine elektronische Speicherung, Verarbeitung oder Übermittlung von Karteninhaberdaten in den Systemen oder Räumlichkeiten des Händlers. Gilt nur für eCommerce-Wege. |
| B | Händler, die nur
|
| B-IP | Händler, die ausschließlich eigenständige, PTS-zugelassene Zahlungsterminals mit einer IP-Verbindung zum Zahlungsprozessor verwenden, ohne elektronische Speicherung der Karteninhaberdaten. Gilt nicht für eCommerce-Wege. |
| C-VT | Händler, die jeweils eine einzelne Transaktion manuell über eine Tastatur in eine internetbasierte virtuelle Terminallösung eingeben, die von einem PCI-DSS-validierten Drittanbieter bereitgestellt und gehostet wird. Keine elektronische Speicherung von Karteninhaberdaten. Gilt nicht für eCommerce-Wege. |
| C | Händler mit an das Internet angeschlossenen Zahlungsanwendungssystemen, keine elektronische Speicherung der Karteninhaberdaten. Gilt nicht für eCommerce-Wege. |
| P2PE-HW | Händler, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, PCI SSC-gelisteten P2PE-Lösung enthalten sind und über diese verwaltet werden, ohne elektronische Speicherung von Karteninhaberdaten. Gilt nicht für eCommerce-Wege. |
| D | Alle Händler, die nicht in den Beschreibungen für die oben genannten Typen enthalten sind. |
Lightspeed Payments hält sich an die Anforderungen der Stufe 1 PCI-Konformität. Dazu gehören unter anderem die Einreichung von jährlichen Compliance-Berichten (ROCs) und Compliance-Bescheinigungen (AOCs) sowie die Durchführung vierteljährlicher Netzwerk-Schwachstellen-Scans, die von einem zugelassenen Scanning-Anbieter (ASV) durchgeführt werden.
Die Sorgfalt von Lightspeed Payments bei der Einhaltung dieser Anforderungen bedeutet, dass Sie als Kunde von Lightspeed Payments auch den Anforderungen entsprechen.
HINWEIS: Wenn Sie Lightspeed Restaurant mit einem Drittanbieter-Zahlungsabwickler verwenden, müssen Sie sich an diesen Abwickler wenden, um Ihre PCI-Konformität zu besprechen.
Sie können mehr über PCI DSS vom PCI Security Standards-Rat erfahren und die spezifischen Anforderungen für jedes der großen Kreditkartenunternehmen auf deren Webseiten überprüfen: