Noch heute mit Shopify verkaufen

Teste Shopify noch heute kostenlos und nutze diese Ressourcen, die dich Schritt für Schritt auf dem Weg zu deinem Ziel begleiten.

Kostenlos testenMehr Informationen
blog|Einzelhandel

PCI-Compliance: Das müssen Unternehmen beachten

In diesem Beitrag erfährst du, wofür PCI-Compliance steht und welche Standards und Richtlinien Unternehmen befolgen müssen, um alle Anforderungen zu erfüllen.

von
Letzte Aktualisierung:
Jemand sitzt an seinem Laptop und hält eine Kreditkarte in der Hand. Was es mit der PCI-Compliance auf sich hat, erfährst du im Beitrag.

Die PCI-Regeln wurden vom PCI Security Standards Council entwickelt, um Betrügereien bei Transaktionen im E-Commerce über Kreditkarten einzudämmen. Es wurde ein Mindeststandard für die Datensicherheit der Verbraucher:innen geschaffen, um das Vertrauen in Online-Zahlungssysteme zu verbessern und zu stärken. Unternehmen, die Daten von Kreditkarteninhaber:innen verarbeiten, müssen die Anforderungen der PCI-Compliance erfüllen.

Befolgen Unternehmen diesen Standard nicht, sind oft hohe Geldstrafen die Folge. In diesem Beitrag zeigen wir dir, welche Anforderungen du erfüllen musst, um Sanktionen zu vermeiden.

Warum ist PCI-Compliance wichtig?

Die PCI-Anforderungen zu erfüllen heißt geeignete Maßnahmen zu ergreifen, um betreffende Daten vor Cyber-Diebstahl und Betrug zu schützen. Wenn du diese nicht erfüllst, hat das Auswirkungen auf dein Unternehmen und deine Kund:innen. Folgen können Cyber-Angriffe, potenzieller Umsatz-, Kunden- und Vertrauensverlust sein.

Inhaltsverzeichnis:

Was ist PCI-Compliance? 

Der PCI DSS, oder auch Payment Card Industry Data Security Standard, wurde 2006 vom Payment Card Industry (PCI) Security Standards Council (einem Zusammenschluss der großen Kreditkartenanbieter:innen) als Reaktion auf steigende Zahlen von Online-Transaktionen erarbeitet. Für Unternehmen, die Kreditkartenzahlungen abwickeln, besteht seitdem die Verpflichtung zum Nachweis der PCI-Konformität im Rahmen eines Zertifizierungsverfahrens.  

Ab den frühen 2000ern ist die Zahl der Unternehmen, die Transaktionen per Kreditkarte über das Internet akzeptieren, stark angestiegen. Dadurch stieg auch bei den Verbraucher:innen die Akzeptanz für Online-Kreditkartenzahlungen.

Lesetipp: Was ist ein EPOS-System und wie funktioniert es?

Jedoch stellten die fünf größten Kreditkartenanbieter:innen (Visa, MasterCard, American Express, Discover und JCB) schnell fest, dass auch Datendiebstähle immer häufiger auftraten. Auch um auf dieses Problem reagieren zu können, wurde der PCI DSS entwickelt. Dieser definiert Standards für eine sichere Zahlungsabwicklung. So kann gewährleistet werden, dass Verkäufer:innen bei der Erfassung, Speicherung, Verarbeitung und Übertragung von Daten der Karteninhaber:innen bei Kreditkartentransaktionen geeignete Sicherheitsvorkehrungen anwenden. Die Ziele sind dabei, Sicherheitslücken zu schließen und den Missbrauch von Verbraucher- und Bankdaten zu verhindern oder zumindest einzudämmen. Diese allgemeinen Standards sowie die Gründung des PCI Security Standards Council bedeuteten einen entscheidenden Schritt zur Regulierung von Online-Zahlungsabwicklungen und zum Schutz von Verbraucher:innen und Unternehmen vor Cyber-Angriffen.

Lesetipp: Welche Aufgaben Shop-Manager:innen haben, zeigen wir dir in diesem Beitrag. 

Vorteile der PCI-Konformität

Die Einhaltung der PCI-Richtlinien bedeutet zwar Ausgaben für Software und Sicherheitsverbesserungen, aber sie bewahrt dich davor, Strafen zu zahlen oder Kund:innen aufgrund von mangelndem Vertrauen zu verlieren.

Hier sind die wichtigsten Gründe für die Einhaltung der PCI-Richtlinien:

Aufrechterhaltung sicherer Systeme

Die meisten Händler:innen sind keine Cybersecurity-Expert:innen und wissen nicht, wo sie anfangen sollen, wenn es darum geht, sichere Systeme zu erstellen und zu pflegen. Die Einhaltung der PCI-Anforderungen kann Unternehmen dabei helfen, solide Sicherheitsstandards zu schaffen und die Gefahr von Datenschutzverletzungen zu verringern.

Sei auf neue Regeln vorbereitet

Wenn du bereits PCI-konform bist, wird es einfacher sein, künftige Datensicherheitsanforderungen zu erfüllen. Wenn das nächste Mal zusätzliche Vorschriften ins Spiel kommen, musst du nur noch Anpassungen an deinem aktuellen Sicherheitsrahmen vornehmen und nicht mehr bei Null anfangen.

Reduziere Datenschutzverletzungen und Bußgelder

Die Einhaltung aller PCI DSS-Anforderungen hilft dir, Datenschutzverletzungen und Sicherheitslücken von vornherein zu vermeiden. Wenn du die Vorschriften einhältst und dein Unternehmen dennoch von einem Datenschutzverstoß betroffen ist, fallen die damit verbundenen Bußgelder und Strafen in der Regel geringer aus.

Anforderungen der PCI-Compliance 

Zwei Frauen schauen auf einen Laptop und sehen sich einen Onlineshop an.

Jedes Jahr müssen Unternehmen sicherstellen, dass sie die PCI DSS einhalten, indem sie eines der offiziellen PCI SSC-Validierungsdokumente ausfüllen. Werden die Anforderungen nicht erfüllt, muss mit Strafen und Kosten gerechnet werden.

Die PCI-Compliance verringert das Risiko einer Datenverletzung durch Cyber-Angriffe – jedoch wird die Chance eines Verstoßes nicht vollständig ausgeschlossen. Kartenanbieter:innen können die PCI-Bußgelder aber deutlich senken, wenn betreffende Händler:innen alle notwendigen Schritte unternehmen, um die Anforderungen zu erfüllen.

Shopify vs. Shopify Plus: In unserem Vergleich zeigen wir dir, welches System für dich geeignet ist!

Folgende technischen und betriebliche Standards müssen für die PCI-Compliance erfüllt sein:

Pflege und Aufbau eines sicheren Netzwerks

Alle Unternehmen sind zur Installation und Pflege einer Firewall-Konfiguration zum Schutz der Kreditkartendaten verpflichtet.

Schutz der Daten von Karteninhaber:innen

Unternehmen, die die Daten der Karteninhaber:innen nach der Transaktion zur Wiederverwendung für zukünftige Zahlungen speichern, sind von dieser Anforderung betroffen – gespeicherte Daten müssen unbedingt geschützt werden!

Bei der Übertragung der Karteninhaberdaten über offene, öffentliche Netzwerke müssen die Daten verschlüsselt sein.

Lesetipp: Was ist eigentlich der Point of Sale?

Nutzung und regelmäßige Aktualisierung von Virenschutzprogrammen

Zum Schutz der Systeme müssen Virenschutzprogramme eingesetzt und regelmäßig aktualisiert werden. Werden Daten auf ausgelagerten Servern gehostet, gilt diese Anforderung für den jeweiligen Serveranbieter bzw. die Serveranbieterin.

Installiere einen Passwortschutz

Händler:innen müssen sensible Kartendaten mit einem starken Passwortschutz schützen. Vermeide die Verwendung von Systempasswörtern und anderen Sicherheitsmaßnahmen, die vom Hersteller bzw. von der Herstellerin vorgegeben werden. Richte eigene Passwörter ein, die für Angreifer:innen schwer zu erraten sind.

Strenge Maßnahmen zur Zugriffssteuerung

Ein weiterer wesentlicher Schritt zur Reduzierung des Risikos von Sicherheitsverstößen ist die Beschränkung des Zugriffs auf vertrauliche Daten auf eine möglichst kleine Gruppe befugter Mitarbeiter:innen. Dies erreichen Unternehmen, indem jeder, der zum Zugriff berechtigt ist, eine eindeutige ID erhält.

💡 TIPP: Mit Shopify POS kannst du verschiedene Rollen und Berechtigungen zuweisen, um festzulegen, was das Ladenpersonal in deinem POS-System ohne die Zustimmung des Managers bzw. der Managerin tun kann, z. B. den Preis eines Produkts ändern oder einen benutzerdefinierten Rabatt auf einen Verkauf anwenden.

Beschränke den physischen Zugang zu den Daten

Beschränke den physischen Zugang zu den Daten auf die Teammitglieder, die ihn für ihre Arbeit benötigen. Vermeide die Speicherung sensibler Karteninhaberdaten auf Computern oder in Papierform.

Erstellen und Führen von Zugriffsprotokollen

Verfolge und überwache alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten mit aktuellen Zugriffsprotokollen. Auf diese Weise lässt sich im Falle einer Datenpanne die Quelle leichter zurückverfolgen.

Regelmäßige Prüfung der Sicherheitssysteme

Bevor es zu einer Datenschutzverletzung oder einem Datendiebstahl kommt, solltest du wissen, wie stark oder schwach deine Sicherheitssysteme sind, damit du die notwendigen Änderungen vornehmen kannst, bevor es zu spät ist. Teste deine Sicherheitssysteme regelmäßig mit Cybersicherheitsexpert:innen, um zu beurteilen, ob sie einem potenziellen Angriff standhalten können.

Einführung einer Richtlinie zur Gewährleistung der Datensicherheit

Als letzter Standard sollten Regeln für den Umgang mit der Nutzung zulässiger Technologie, Überprüfungen und jährliche Verfahren zur Risikoanalyse, betriebliche Sicherheitsverfahren und andere allgemeine Verwaltungsaufgaben festgelegt werden.

Template Icon

Kostenloses Webinar: In 30 Minuten zum eigenen Onlineshop

Du willst selbst mal sehen, wie schnell du einen Shop aufsetzen kannst?

Der Shopify-Experte und leidenschaftliche Shop-Betreiber Adrian Piegsa zeigt dir, wie du dich anmeldest, eine Domain verknüpfst, Produkte auswählst und natürlich alle rechtlichen Vorgaben umsetzt.

Jetzt kostenlos teilnehmen

Strafen bei Verstößen 

Vor einem Laptop liegen mehrere Kreditkarten. Was Unternehmen bei Verstößen gegen die PCI-Compliance droht, zeigen wir im Beitrag.

Alle im vorangegangenen Abschnitt aufgeführten Anforderungen gelten für sämtliche Hardware und Web-Anwendungen, dazu zählen:

  • Verkaufsterminals
  • Kartenlesegeräte
  • Netzwerke und WLAN-Router in Geschäften
  • Anwendungen und Warenkörbe zur Abwicklung von Online-Zahlungen
  • Speicherung und Übertragung von Zahlungskartendaten
  • Gespeicherte Zahlungskartendaten in Papierform

Die Ausführung und Aufrechterhaltung der Anforderungen der PCI-Compliance sind für viele Händler:innen kein leichtes Unterfangen. Oft müssen Sicherheitskontrollen veranlasst, externe Berater:innen bei der Installation kostspieliger Soft- und Hardware hinzugezogen und verbindliche Verträge unterzeichnet werden, unter denen sie den Bedingungen der Bank für die jährliche Überprüfung der PCI-Konformität zustimmen müssen. Ebenfalls erforderlich sind in der Regel jährliche Selbstbewertungen.

Lesetipp: Alles zu POS-Kassensystemen kannst du in diesem Beitrag nachlesen.

Aber wie sehen die Strafen bei einer Nichteinhaltung aus? Laut dem PCI-Compliance Blog werden Geldbußen nicht gemeldet oder veröffentlicht, sondern in der Regel an die Händler:innen durchgereicht. Die Banken geben diese Geldbußen in Form erhöhter Transaktionsgebühren oder durch die Kündigung von Geschäftsbeziehungen an die Händler:innen weiter.

Die Bußgelder können zwischen 5.000 und 100.000 USD pro Monat variieren, bis die Händler:innen PCI-Konformität erreichen. Für große Finanzinstitute sind diese Beträge realistisch, aber kleine Unternehmen können diese Summen schnell in den Bankrott treiben.

Die Compliance von Shopify deckt alle sechs PCI-Standardkategorien ab und gilt für jeden Shop, der unsere Plattform nutzt. Shopify ist als PCI DSS-konform der Stufe 1 zertifiziert. Diese Konformität gilt standardmäßig für alle von Shopify betriebenen Shops.

Informationen zu den PCI-Compliance-Berichten von Shopify findest du im Help Center.

Wie wird die PCI-Compliance bestätigt? 

Alle Kreditkartenunternehmen haben eigene Compliance-Validierungsstufen, die es einhalten muss. Du hast als Händler:in entweder die Möglichkeit, deine eigenen PCI-Compliance Self-Assessment Questionaire (SAQ) durchzuführen oder einen Vertrag mit einem zertifizierten PCI Quality Assessor (QSA) abzuschließen.

Lesetipp: So findest du die richtige POS-App.

PCI QSAs sind für die Durchführung von PCI-Sicherheitsbewertungen zertifiziert und geschult. Du kannst aber auch ein SAQ-Formular ausfüllen, das eine Reihe von Ja- oder Nein-Fragen enthält, mit denen dein Konformitätsgrad mit dem PCI DSS bestimmt wird. Jedes Unternehmen muss diesen SAQ ausfüllen und den Quartalsbericht an die dafür vorgesehene Organisation übermitteln.

Unsere erfolgreichen Händler:innen geben dir in unserem Podcast Tipps für die Gründung deines eigenen Unternehmens. Anhören lohnt sich!

    Abonniere am besten direkt den Shopify Podcast und verpasse keine Folge mehr!

    Fazit

    Auf einem Schreibtisch steht ein Laptop und ein aufgeschlagenes Notizbuch liegt im Vordergrund.

    Durch die Technologien, die es Kund:innen ermöglichen, schnell und bequem zu zahlen, war es für Hacker:innen leicht, sich Zugriff auf sensible Daten zu verschaffen. Daher müssen kleine Unternehmen, die Kreditkartenzahlungen nur in geringem Umfang abwickeln, genauso strenge Anforderungen zur Sicherung der Kartendaten erfüllen, wie große Einzelhändler:innen, die unzählige Transaktionen verarbeiten.

    Werden diese Standards des PCI DSS eingehalten, bieten sie allen Unternehmen einen starken Schutz vor Cyberkriminalität und erzeugen eine höhere Kundenzufriedenheit und -sicherheit.

    Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Steuer- oder Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechts- oder Steuerberatung für Informationen, die spezifisch für dein Land und deine Umstände gelten. Shopify haftet in keiner Weise für deine Verwendung oder dein Vertrauen in diese Informationen.

    Häufig gestellte Fragen zur PCI-Compliance

    Was ist eine PCI-Zertifizierung?

    Die PCI-Zertifizierung gewährleistet die Sicherheit von Kreditkartendaten. Laut den Regularien der Kreditkartenorganisationen ist der PCI-Standard von allen Unternehmen einzuhalten, die Kreditkartendaten technisch verarbeiten oder speichern.

    Wie oft muss der Nachweis zur PCI-Compliance erbracht werden?

    Mindestens einmal im Jahr muss ein PCI DSS Nachweis erbracht werden. Unabhängig von der Art, wie Kartendaten angenommen werden, müssen Unternehmen jedes Jahr ein PCI-Validierungsformular ausfüllen.

    Für wen gilt die PSC DSS?

    Die Regeln der PCI DSS gelten für alle Unternehmen, die Kreditkartenzahlungen akzeptieren und verarbeiten. Für kleine Unternehmen gelten also dieselben Anforderungen wie für die größeren Händler:innen.

    Was kostet es, PCI-konform zu werden?

    Diese Frage lässt sich nicht pauschal beantworten. Im Vergleich zu einer Datenschutzverletzung sind die Kosten der PCI-Konformität allerdings gering. Du solltest die Kosten für die PCI-Compliance eher als Investition in die Sicherheit deines Unternehmens und deiner Kund:innen betrachten.
    Alice Viete ist Content-Marketing-Expertin. Als Inhaberin einer Agentur unterstützt sie B2B- und E-Commerce-Unternehmen bei der Umsetzung ihrer individuellen Content-Strategie. Im Shopify-Blog schreibt sie über erfolgreiche Händler:innen sowie aktuelle Themen im Onlinehandel.
    von
    Letzte Aktualisierung:
    Artikel teilen
    Beliebte Beiträge
    subscription banner
    Aktuelle Neuigkeiten von Shopify erfahren

    Abonniere unseren Blog und erhalte kostenlose E-Commerce-Tipps, Inspiration und Ressourcen direkt in deinem Posteingang.

    Du kannst dich jederzeit abmelden. Mit der Eingabe deiner E‑Mail-Adresse erklärst du dich damit einverstanden, Marketing-E-Mails von Shopify zu erhalten.

    Mit Shopify überall verkaufen

    Learning by Doing: Teste Shopify kostenlos und entdecke alle Tools, die du für die Gründung, den Betrieb und den Ausbau deines Business benötigst.

    Kostenlos testen

    Teste Shopify kostenlos, keine Kreditkarte erforderlich.