Sicherheit und Compliance im Zahlungsbereich: Best Practices für das Verfassen aussagekräftiger Ausschreibungen

In diesem Leitfaden werden Best Practices für das Stellen von Fragen zu Sicherheit und Compliance bei Ausschreibungen (RFPs) im Zahlungsbereich erläutert.

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. Welche Sicherheits- und Compliance-Anforderungen sollten in jeder Ausschreibung im Zahlungsbereich enthalten sein?
    1. Branchenzertifizierungen und Audits
    2. PCI-DSS-Konformität
    3. Datenschutz und Privatsphäre
    4. Betrugsprävention
    5. Reaktion auf Vorfälle und Notfallwiederherstellung
    6. Globale Compliance-Abdeckung
    7. Grundlegende Kontrollen der Datensicherheit
    8. Mobile und In-App-Zahlungen
    9. Berichterstattung und Überprüfbarkeit
  3. Wie schreibe ich PCI-DSS-Anforderungen in einer Ausschreibung im Zahlungsbereich?
  4. Welche grundlegenden Fragen zum Datenschutz und zur Privatsphäre sollten Sie Anbietern stellen?
    1. Wo werden die Daten gespeichert und verarbeitet?
    2. Wie werden personenbezogene Daten geschützt?
    3. Welche Datenschutzgesetze erfüllen Sie und welche Verträge belegen dies?
    4. Was sind Ihre Richtlinien zur Speicherung und Löschung?
    5. Wer sind Ihre Unterverarbeiter und wie werden sie überprüft?
    6. Wie erfolgt die Benachrichtigung bei Sicherheitsverletzungen?
  5. Wie bewerte ich die Betrugsprävention eines Anbieters in einer Ausschreibung?
    1. Betrugserkennungssysteme
    2. Starke Kundenauthentifizierung (SCA)
    3. Verfolgte Metriken
    4. Möglichkeiten zur individuellen Anpassung
    5. Methodenübergreifender Schutz
    6. Umgang mit angefochtenen Zahlungen
  6. Welche Details zur Reaktion auf Vorfälle und zur Notfallwiederherstellung sollten Anbieter angeben?
  7. Wie kann ich mich in einer Ausschreibung nach globalen Compliance-Anforderungen erkundigen?
    1. PSD2 und starke Kundenauthentifizierung (SCA)
    2. Datenschutz und DSGVO
    3. Prüfung auf Einhaltung von Sanktionen
    4. Regionale Vorschriften und Lokalisierung
    5. Lizenzierung und regulatorische Aufsicht
  8. Welche Anforderungen sollten Sie an Anbieter für Verschlüsselung, Tokenisierung und Authentifizierung stellen?
    1. Verschlüsselung
    2. Tokenisierung
    3. Authentifizierung und Zugriffskontrolle
    4. Kundenorientierte Authentifizierung
  9. Wie kann ich Sicherheitsanforderungen für mobile und In-App-Zahlungen in eine Ausschreibung aufnehmen?
  10. Welche Berichts- und Prüfungsfunktionen sollten in einer Ausschreibung im Zahlungsbereich verlangt werden?
    1. Transaktions- und Finanzberichterstattung
    2. Audit-Logs der Systemaktivität
    3. Support bei externen Compliance-Audits
    4. Echtzeitüberwachung und Warnungen
    5. Zugänglichkeit und Aufbewahrung von Daten
  11. Welche Warnsignale in den Antworten der Anbieter auf die Ausschreibung deuten auf eine unzureichende Sicherheit oder Compliance hin?
  12. So kann Stripe Payments Sie unterstützen
  13. Jetzt mit Stripe starten 

Im Jahr 2024 waren 35,5 % der weltweiten Sicherheitsverletzungen auf Dritte zurückzuführen. Die Folgen eines solchen Verstoßes können noch schwerwiegender sein, wenn Sie mit einem Zahlungsabwickler zusammenarbeiten. Aus diesem Grund sind Sicherheit und Compliance in jeder Ausschreibung im Zahlungsbereich unverzichtbar. In Ihrer Ausschreibung sollten Sie potenzielle Zahlungsdienstleister auffordern, darzulegen, wie sie vertrauliche Daten schützen, wie schnell sie auf Vorfälle reagieren und wie sie Ihrem Unternehmen helfen können, die gesetzlichen Anforderungen zu erfüllen.

Sie müssen die richtigen Fragen stellen und Antworten mit Beweisen verlangen. Im Folgenden erläutern wir alle Best Practices für Fragen zu Sicherheit und Compliance in Ausschreibungen im Zahlungsbereich.

Worum geht es in diesem Artikel?

  • Welche Sicherheits- und Compliance-Anforderungen sollten in jeder Ausschreibung im Zahlungsbereich enthalten sein?
  • Wie schreibe ich PCI-DSS-Anforderungen in einer Ausschreibung im Zahlungsbereich?
  • Welche grundlegenden Fragen zum Datenschutz und zur Privatsphäre sollten Sie Anbietern stellen?
  • Wie bewerte ich die Betrugsprävention eines Anbieters in einer Ausschreibung?
  • Welche Details zur Reaktion auf Vorfälle und zur Notfallwiederherstellung sollten Anbieter bereitstellen?
  • Wie kann ich mich in einer Ausschreibung nach globalen Compliance-Anforderungen erkundigen?
  • Welche Anforderungen sollten Sie an Anbieter für Verschlüsselung, Tokenisierung und Authentifizierung stellen?
  • Wie kann ich Sicherheitsanforderungen für mobile und In-App-Zahlungen in eine Ausschreibung aufnehmen?
  • Welche Berichts- und Prüfungsfunktionen sollten in einer Ausschreibung im Zahlungsbereich verlangt werden?
  • Welche Warnsignale in den Antworten der Anbieter auf die Ausschreibung deuten auf eine unzureichende Sicherheit oder Compliance hin?
  • So kann Stripe Payments Sie unterstützen

Welche Sicherheits- und Compliance-Anforderungen sollten in jeder Ausschreibung im Zahlungsbereich enthalten sein?

Wenn Sie eine Ausschreibung im Zahlungsbereich erstellen, definieren Sie im Abschnitt „Sicherheit und Compliance“ die grundlegenden Erwartungen, die jeder seriöse Anbieter für Ihr Unternehmen erfüllen sollte. Ihre Ausschreibung sollte die Anbieter dazu verpflichten, in all diesen Bereichen ein starkes, unabhängig validiertes Maß an Sicherheit nachzuweisen.

Branchenzertifizierungen und Audits

Bitten Sie die Anbieter, Nachweise über Zertifizierungen und Audits vorzulegen: Payment Card Industry Security Standard (PCI-DSS) für Kartendaten, International Organization for Standardization (ISO) 27001 für Informationssicherheit und System and Organization Controls (SOC) 2 Typ II für Betriebskontrollen. Diese Zertifizierungen bescheinigen, dass externe Auditoren die Praktiken des Anbieters überprüft haben.

PCI-DSS-Konformität

Verlangen Sie, dass PCI-DSS-Konformität auf der höchsten für Dienstleister/innen relevanten Ebene (Level 1). Fordern Sie als formellen Nachweis die aktuelle Konformitätsbescheinigung (AOC) eines qualifizierten Sicherheitsgutachters (QSA) des Anbieters an.

Datenschutz und Privatsphäre

Finden Sie heraus, wie die Anbieter alle Informationen der Kundschaft schützen, einschließlich personenbezogener Daten, Rechnungsadressen und Kennungen. Fragen Sie, wo diese Daten geografisch gespeichert werden, wie sie verschlüsselt werden und wie der Zugriff gesteuert wird. Stellen Sie sicher, dass die Anbieter eine Datenverarbeitungsvereinbarung unterzeichnet und Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) der EU und den California Consumer Privacy Act (CCPA) einhalten.

Betrugsprävention

Fragen Sie nach den Möglichkeiten der Anbieter hinsichtlich der Betrugsprävention. Nutzen sie maschinelles Lernen, Regel-Engines und 3D-Secure-Authentifizierung? Wie schaffen sie es, Betrugsversuche zu stoppen und gleichzeitig die Genehmigungsraten hoch zu halten? Ihre Antwort auf die Ausschreibung sollte Ihnen die Gewissheit geben, dass sie dazu beitragen können, Rückbuchungen und Betrugsverluste zu reduzieren, ohne Ihre rechtmäßige Kundschaft zu frustrieren.

Reaktion auf Vorfälle und Notfallwiederherstellung

Alle Anbieter sollten einen Plan für Sicherheitsverletzungen und Ausfälle haben. Fragen Sie die Anbieter, wie sie Vorfälle erkennen und darauf reagieren, wie schnell sie Sie benachrichtigen, wenn Ihre Daten betroffen sind, und was ihre wichtigsten Ziele zur Datenwiederherstellung sind – Recovery Time Objective (RTO) oder Recovery Point Objective (RPO).

Globale Compliance-Abdeckung

Wenn Ihr Unternehmen international tätig ist, müssen Ihre Anbieter mit den lokalen Vorschriften vertraut sein, damit Sie nicht überrascht werden. Fordern Sie die Compliance mit der überarbeiteten Zahlungsdiensterichtlinie (PSD2) in Europa, der Sanktionsprüfung in den USA und den Datenlokalisierungsregeln in Ländern wie Indien.

Grundlegende Kontrollen der Datensicherheit

Klären Sie Ihre Erwartungen hinsichtlich Verschlüsselung, Tokenisierung und Authentifizierung. Daten sollten während der Übertragung und während der Speicherung nach modernen Standards verschlüsselt werden, sensible Daten sollten tokenisiert werden, damit Sie nie direkt mit ihnen in Berührung kommen, und Anbietersysteme sollten eine starke Authentifizierung für interne Benutzer/innen durchsetzen.

Mobile und In-App-Zahlungen

Wenn Ihr Unternehmen auf Mobilgeräte ausgerichtet ist, müssen Sie die spezifischen Anforderungen für diese Umgebung berücksichtigen. Fragen Sie nach der Sicherheit der Software Development Kits (SDKs) der Anbieter, ob sensible Daten Ihre Server umgehen, um den PCI-Umfang zu reduzieren, und wie sie Digital Wallets wie Apple Pay und Google Pay unterstützen.

Berichterstattung und Überprüfbarkeit

Fordern Sie Transaktionsberichterstattung, Analysen bei Betrug und angefochtenen Zahlungen sowie System-Audit-Logs an, die administrative Aktionen verfolgen. Sie sollten ausreichenden Zugriff auf Ihre Daten haben, um Ihre eigenen Audits durchführen und Ihre eigenen Compliance-Verpflichtungen erfüllen zu können.

Wie schreibe ich PCI-DSS-Anforderungen in einer Ausschreibung im Zahlungsbereich?

PCI-DSS ist das globale Regelwerk für Kartendaten. In Ihrer Ausschreibung sollte die PCI-Compliance wie eine Vertragsklausel formuliert sein. Verlangen Sie eine Level-1-Zertifizierung mit Nachweis und stellen Sie sicher, dass sich die Anbieter verpflichten, die Konformität auch bei der Weiterentwicklung des Standards beizubehalten.

Hier erfahren Sie, wie Sie sicherstellen, dass Ihre Formulierungen in der Ausschreibung keinen Raum für Unklarheiten oder Fehlinterpretationen lassen:

  • Geben Sie Ebene und Nachweis explizit an: Geben Sie an, dass der Anbieter nach PCI Level 1 zertifiziert sein muss. Das ist der Goldstandard für den Nachweis der Compliance.

  • Bestehen Sie auf fortlaufender Compliance: Fragen Sie, wie sich der Anbieter an sich verändernde PCI-DSS-Anforderungen anpassen wird. Sie können sagen: „Bestätigen Sie, dass Sie die PCI-Konformität während der Vertragslaufzeit aufrechterhalten, und erklären Sie, wie Sie sich an neue PCI DSS-Versionen anpassen.“ Die Antwort sollte jährliche Audits, vierteljährliche Scans und eine fortlaufende Überwachung beinhalten.

  • Klären Sie die gemeinsamen Verantwortlichkeiten: Besprechen Sie, welche PCI-Verpflichtungen bei Ihnen liegen. Fragen Sie zum Beispiel: „Welche PCI-DSS-Anforderungen liegen weiterhin in unserer Verantwortung und wie unterstützen Sie uns bei der Erfüllung dieser Anforderungen?“ Suchen Sie nach Anbietern, die Ihnen diese Aufgabe abnehmen, indem sie z. B. vorab Fragebögen zur Selbsteinschätzung der PCI ausfüllen oder detaillierte Anleitungen anbieten.

Welche grundlegenden Fragen zum Datenschutz und zur Privatsphäre sollten Sie Anbietern stellen?

Namen, Anschriften, E-Mail-Adressen und Geräte-IDs sind ebenfalls vertrauliche Informationen. Der richtige Anbieter wird Ihnen genau sagen können, wo die Daten Ihrer Kundinnen und Kunden gespeichert werden, wie sie geschützt werden, wie lange sie aufbewahrt werden und was passiert, wenn etwas schief geht.

Dies sind die Fragen, die Sie stellen sollten.

Wo werden die Daten gespeichert und verarbeitet?

Auf den Zuständigkeitsbereich kommt es an. Bitten Sie Anbieter, die Länder anzugeben, in denen die Daten der Kundinnen und Kunden gespeichert werden. Erkundigen Sie sich auch, ob regionale Hosting-Optionen angeboten werden. Anbieter, die Wert auf Transparenz legen, benennen in ihrer Antwort die Standorte, erläutert die geltenden rechtlichen Rahmenbedingungen und beschreibt, wie grenzüberschreitende Übertragungen gehandhabt werden.

Wie werden personenbezogene Daten geschützt?

Verschlüsselung, Zugriffskontrollen und Überwachung sollten sofort zur Sprache kommen. Erkundigen Sie sich nach den genauen Methoden: Advanced Encryption Standard (AES) 256 für Daten im Ruhezustand, Transport Layer Security (TLS) 1.2 und höher für Daten während der Übertragung und rollenbezogener Zugriff nach dem Prinzip der geringsten Rechte. Fordern Sie Details zu den Audit-Logs an: Wer hat wann und zu welchem Zweck auf welche Daten zugegriffen? Sie wollen sichergehen, dass jeder Kontaktpunkt überwacht wird.

Welche Datenschutzgesetze erfüllen Sie und welche Verträge belegen dies?

Der Anbieter sollte die DSGVO, den CCPA und andere relevante Gesetze explizit angeben. Verlangen Sie eine DSGVO-konforme Datenverarbeitungsvereinbarung und einen Nachweis darüber, wie mit den Rechten der betroffenen Person umgegangen wird, z. B. auf Zugriff und Löschung. Wenn der Anbieter über Zertifizierungen verfügt oder an anerkannten Frameworks beteiligt ist, sollte dies bei der Bewertung berücksichtigt werden.

Was sind Ihre Richtlinien zur Speicherung und Löschung?

Fragen Sie, wie lange die Anbieter Transaktionen und persönliche Daten aufbewahren und welche Prozesse eingerichtet sind, um sie zu löschen oder zu anonymisieren. Achten Sie auf strukturierte Richtlinien: bestimmte Zeitrahmen für die Aufbewahrung, automatische Bereinigung und die Möglichkeit, Löschanfragen schnell nachzukommen.

Wer sind Ihre Unterverarbeiter und wie werden sie überprüft?

Wenn Anbieter auf Cloud-Anbieter oder Dritte zurückgreifen, sollte offengelegt werden, um welche es sich handelt, und nachgewiesen werden, dass für diese Partner die gleichen Standards gelten. Antworten sind nur dann aussagekräftig, wenn sie die Due Diligence, vertragliche Verpflichtungen und Zertifizierungen für Unterauftragsverarbeiter beschreiben.

Wie erfolgt die Benachrichtigung bei Sicherheitsverletzungen?

Fordern Sie die schriftlichen Richtlinien des Anbieters für die Meldung von Vorfällen an. Erkundigen Sie sich nach dem Zeitplan (innerhalb wie vieler Stunden Sie über eine Sicherheitsverletzung informiert werden) und welche Details der Anbieter weitergibt. Antworten sind dann aussagekräftig, wenn sie genaue Angaben zu den Kommunikationskanälen und zur auf Vorfälle folgenden Berichterstattung mit Sanierungsschritten enthalten.

Wie bewerte ich die Betrugsprävention eines Anbieters in einer Ausschreibung?

Jeder Betrugsfall, der nicht erkannt wird, kann den Umsatz und das Vertrauen der Kundinnen und Kunden in Mitleidenschaft ziehen. Jeder Fehlalarm, der eine rechtmäßige Transaktion blockiert, kann Sie eine Kundin oder einen Kunden kosten. Wenn es um Betrugsprävention geht, sollte der richtige Anbieter konkret werden: Modelle für maschinelles Lernen, die auf Milliarden von Datenpunkte abgestimmt sind, konfigurierbare Dashboards, konkrete Betrugsraten und integrierte Authentifizierungsabläufe. Der Anbieter sollte auch das Gleichgewicht zwischen Betrugsprävention und Konversion kennen und zeigen, wie er Ihnen dabei helfen kann.

Folgendes müssen Sie herausfinden.

Betrugserkennungssysteme

Bitten Sie die Anbieter, ihre Systeme zur Betrugserkennung detailliert zu erläutern. Suchen Sie nach einem Anbieter mit einem mehrschichtigen Ansatz: maschinelles Lernen, das auf einem großen Datensatz trainiert wird, konfigurierbare Regeln, Device Fingerprinting, Geschwindigkeitsüberprüfungen und Verhaltenssignale. Die besten Anbieter kombinieren automatisiertes Scoring mit Optionen für manuelle Prüfungen und Feedbackschleifen. Wenn Anbieter Konsortialdaten erwähnen (d. h. Signale, die über viele Unternehmen hinweg gesammelt werden), ist das ein Zeichen dafür, dass ihre Modelle aus einem weiten Feld lernen, das über Ihre eigenen Transaktionen hinausgeht.

Stripe verfügt beispielsweise über eine erweiterte Betrugserkennung. Die Wahrscheinlichkeit, dass eine Karte bereits zuvor im Stripe-Netzwerk erkannt wurde, liegt bei 92 %, was umfangreichere Daten für die Betrugsbewertung liefert. Stripe gibt außerdem Betrugsbewertungen sicher weiter, um den Kartenherausgebern zu helfen, präzisere Autorisierungsentscheidungen zu treffen.

Starke Kundenauthentifizierung (SCA)

Die Betrugsbekämpfung ist direkt mit der Authentifizierung verknüpft. Verlangen Sie von den Anbietern, dass sie beschreiben, wie sie Methoden wie 3D Secure, Einmal-Passcodes und biometrische Überprüfungen unterstützen. Für Unternehmen, die in Europa tätig sind, ist dies eine PSD2-Anforderung. Auch außerhalb Europas ist eine verstärkte Authentifizierung bei risikoreichen oder verdächtigen Transaktionen erforderlich. Der ideale Anbieter kann diese Abläufe ermöglichen, ohne dass Sie sie selbst erstellen müssen.

Verfolgte Metriken

Fragen Sie nach Metriken wie Betrugsraten, Rückbuchungsquoten, Falscherkennungsquoten und Genehmigungsraten. Sie sollten nach einem Anbieter suchen, der diese Kennzahlen ausbalancieren kann: hohe Genehmigungsraten gepaart mit geringem Betrug und minimalen Reibungsverlusten. Wenn der Anbieter Rückbuchungsschutz oder Haftungsumkehrprogramme anbietet, zeugt dies von einem vertrauenswürdigen System. Aber darüber hinaus müssen Sie verstehen, wie Anbieter ihre Ergebnisse erzielen.

Möglichkeiten zur individuellen Anpassung

Jedes Unternehmen hat seine eigene Risikobereitschaft. Einige zielen womöglich auf eine maximale Konversionsrate ab, auch wenn dies mehr Zahlungsanfechtungen bedeutet. Andere sind vielleicht bereit, ihre Kundinnen und Kunden auch vor Herausforderungen zu stellen, um Betrug zu reduzieren. Fragen Sie, ob Sie Betrugsregeln individuell abstimmen, Risikoschwellenwerte anpassen und bestimmte Szenarien zulassen oder blockieren können. Starke Anbieter geben Ihnen Dashboards an die Hand, in denen Sie Regeln festlegen können wie z. B. „Transaktionen über 5.000 USD von einem neuen Kunden/einer neuen Kundin kennzeichnen“ und „3D Secure für alle Erstbestellungen aus Land X erforderlich“. Diese Flexibilität ist ein Zeichen der Eignung.

Stripe zum Beispiel bietet eine einfache, flexible Integration mit technischer Dokumentation, entwicklerfreundlichen APIs, individuellen Anpassungsoptionen, Low-Code- und No-Code-Tools, eingebetteten Komponenten und von Stripe verwalteten Risiken.

Methodenübergreifender Schutz

Jede Zahlungsmethode – von Digital Wallets bis Jetzt kaufen, später bezahlen – birgt ein Betrugsrisiko. In Ihrer Ausschreibung sollten Sie die Anbieter fragen, wie sie diese Methoden überwachen. Werden Bankkonten überprüft, Empfänger/innen von Auszahlungen mit Sanktionslisten abgeglichen oder Kontoübernahmen festgestellt? Anbieter, die sich nur mit Kartenbetrug befassen, setzen Sie womöglich in anderen Bereichen Schwachstellen aus.

Umgang mit angefochtenen Zahlungen

Betrugsprävention und Anfechtungsmanagement gehen Hand in Hand. Fragen Sie, wie Anbieter Reaktionen auf Rückbuchungen unterstützen: Sammeln sie automatisch Beweise, übermitteln sie Warnungen zu angefochtenen Zahlungen oder bieten sie Ursachenanalysen? Selbst die besten Systeme können nicht alles erfassen. Deshalb ist es wichtig, dass sie in der Lage sind, die Auswirkungen von Betrug zu begrenzen, wenn dieser erfolgreich ist.

Welche Details zur Reaktion auf Vorfälle und zur Notfallwiederherstellung sollten Anbieter angeben?

Die Art und Weise, wie sich Anbieter auf Sicherheitsverletzungen und Ausfälle vorbereiten, kann viel über ihre Eignung aussagen. Sie sollten über einen getesteten Plan für die Reaktion auf Vorfälle, eine schnelle Benachrichtigung bei Sicherheitsverletzungen, messbare Wiederherstellungsziele, eine robuste Infrastruktur und ein Kommunikationsprotokoll verfügen, das Ihr Unternehmen auf dem Laufenden hält. Zeitpläne, Metriken und die Häufigkeit von Tests signalisieren Bereitschaft.

Hier erfahren Sie, was Sie wissen sollten:

  • Pläne zur Reaktion auf Vorfälle: Erkundigen Sie sich bei den Anbietern, wie sie mit Sicherheitsvorfällen umgehen. Antworten sind nur dann aussagekräftig, wenn sie sich auf einen formellen Plan zur Erkennung, Eindämmung, Untersuchung und Wiederherstellung beziehen. Die besten Anbieter testen diese Pläne durch regelmäßige Simulationen oder Tabletop-Übungen und aktualisieren sie nach realen Vorfällen. Ihr Partner sollte über ein Team verfügen, das in diesem Prozess geschult ist.

  • Kommunikation über Verstöße: Bestehen Sie auf Einzelheiten. Zum Beispiel: „Innerhalb von wie vielen Stunden werden Sie uns über einen bestätigten Verstoß informieren? Welche Details werden Sie uns mitteilen?" Starke Anbieter sollten sich zu einem klaren Zeitfenster verpflichten (z. B. 24 bis 72 Stunden) und erläutern die Informationen, die sie weitergeben werden: Umfang, betroffene Daten, Schritte zur Sanierung und laufende Updates. Bestehen Sie auch auf Klarheit über Eskalationswege und Ansprechpartner/innen. Wer wird Sie beispielsweise anrufen, wie oft und über welchen Kanal? Führt der Anbieter nach dem Vorfall eine Ursachenanalyse durch? Ihr Anbieter sollte Sie bei der Wiederherstellung als Partner behandeln.

  • Pläne für die Wiederherstellung im Katastrophenfall und die Aufrechterhaltung des Geschäftsbetriebs: Fragen Sie nach RTO und RPO. Diese Kennzahlen definieren, wie schnell Systeme wieder online gehen und wie viele Daten verloren gehen können. Bewerten Sie konkrete Zahlen und Beweise für geografische Redundanz (z. B. mehrere Rechenzentren, alternative Cloud-Regionen). Anbieter, die diese Details nicht angeben können, haben ihre Pläne möglicherweise nicht getestet.

  • Backup-Infrastruktur: Erkundigen Sie sich nach Backup-Generatoren, mehreren Internetanbietern, einem automatischen Failover-Mechanismus und kontinuierlichen Backups. Wie oft testet der Anbieter seine Failover-Prozesse? Einige Anbieter veröffentlichen nach Ausfällen Post-Mortem-Analysen, um die Rechenschaftspflicht offenzulegen. Eine solche Transparenz ist ein Zeichen von Vertrauen.

Wie kann ich mich in einer Ausschreibung nach globalen Compliance-Anforderungen erkundigen?

Wenn Ihr Unternehmen in mehreren Märkten tätig ist (oder dies plant), muss in Ihrer Ausschreibung erkennbar sein, ob ein Anbieter Ihre Compliance tatsächlich überall dort sicherstellen kann, wo Sie Kundinnen und Kunden haben. Die stärksten Anbieter behandeln Compliance als Teil ihres Produkts: Sie gehen auf die Automatisierung rund um PSD2 ebenso ein wie auf konkrete Datenschutzpraktiken, in Auszahlungen integrierte Sanktionsprüfungen und einen Lizenzkatalog, der die Märkte abdeckt, die Ihnen wichtig sind.

Hier erfahren Sie, nach was Sie sich erkundigen müssen, um festzustellen, ob die Compliance auf der von Ihnen benötigten Ebene integriert ist.

PSD2 und starke Kundenauthentifizierung (SCA)

Die PSD2-Verordnung der EU schreibt für die meisten elektronischen Zahlungen eine starke Kundenauthentifizierung (SCA) vor. Erkundigen Sie sich bei den Anbietern: „Wie gehen Sie mit den PSD2-Anforderungen, einschließlich SCA, um? Wie handhaben Sie Ausnahmen?“ Ein seriöser Anbieter wird bestätigen, dass er SCA bei Bedarf automatisch anwendet und Ausnahmen (z. B. Einkäufe mit geringem Wert, vertrauenswürdige Empfänger/innen, wiederkehrende Zahlungen) verfeinert, um unnötige Hindernisse zu beseitigen. Der Anbieter sollte diese Ausnahmen automatisieren, anstatt Sie diese selbst programmieren zu lassen.

Datenschutz und DSGVO

Datenschutzgesetze gibt es in allen Regionen. In Ihrer Ausschreibung sollten Sie die Anbieter aufgefordert werden, zu erklären, wie sie die DSGVO, den CCPA und andere Datenschutzbestimmungen erfüllen. Fragen Sie, wo die Daten der Kundinnen und Kunden gespeichert werden, ob es regionale Hosting-Optionen gibt und welche Mechanismen für grenzüberschreitende Transfers verwendet werden (z. B. EU-US Data Privacy Framework, Standardvertragsklauseln). Verlangen Sie eine DSGVO-konforme Datenverarbeitungsvereinbarung als Teil des Vertrags. Suchen Sie nach Anbietern, die Zertifizierungen, Audits oder unabhängige Validierungen ihrer Datenschutzmaßnahmen vorweisen können.

Prüfung auf Einhaltung von Sanktionen

In vielen Ländern ist die Compliance von Sanktionen vorgeschrieben. In den USA beispielsweise ist das Office of Foreign Assets Control (OFAC) für die Durchsetzung von Sanktionen verantwortlich. Fehlende Sanktionsprüfungen können zu Bußgeldern und Reputationsschäden führen. Fragen Sie die Anbieter: „Welche Sanktionsprüfungen führen Sie durch (z. B. OFAC, EU, UN)? Wie blockieren oder kennzeichnen Sie eingeschränkte Transaktionen? Beschreiben Sie Ihren Sanktionsprüfungsprozess, einschließlich der Listen, die Sie prüfen, und wie oft diese aktualisiert werden.“ Antworten sind nur dann aussagekräftig, wenn sie eine automatisierte Prüfung auf Transaktions- und Auszahlungsebene, kontinuierliche Listenaktualisierungen und Verfahren für den Umgang mit Übereinstimmungen beschreiben.

Regionale Vorschriften und Lokalisierung

Unterschiedliche Regionen haben ihre eigenen Regeln. Ihre Ausschreibung sollte sicherstellen, dass Sie in allen Fällen abgedeckt sind. Fragen Sie die Anbieter: „Welche regionalen Compliance-Verpflichtungen unterstützen Sie direkt und wie helfen Sie uns, diese zu erfüllen?“ Die besten Anbieter zeigen, dass sie die regionale Vorschriften aktiv verfolgen.

Lizenzierung und regulatorische Aufsicht

Prüfen Sie, ob die Anbieter über die entsprechenden Lizenzen oder Registrierungen in wichtigsten Märkten verfügen. So erkennen Sie, wer die regulatorische Verantwortung trägt und ob Ihre Zahlungen ohne Unterbrechung fließen können. Bitten Sie die Anbieter, ihre regulatorischen Lizenzen und die von ihnen abgedeckten Regionen aufzulisten.

Welche Anforderungen sollten Sie an Anbieter für Verschlüsselung, Tokenisierung und Authentifizierung stellen?

Wenn ein Anbieter nicht beschreiben kann, wie er verschlüsselt, tokenisiert und den Zugriff einschränkt, müssen Sie sein Angebot nicht weiterlesen. Die folgenden Details sollten enthalten sein: Der Anbieter sollte in der Lage sein, Verschlüsselungsstandards zu benennen, Tokenisierungsabläufe zu erläutern, Single Sign-On (SSO) und Multifaktor-Authentifizierung (MFA) im Detail zu beschreiben, Anwendungsprogrammierschnittstelle (API)-Schlüssel einzuschränken und Webhook-Signaturen zu erwähnen.

Hier sind die Funktionen, auf die sich Ihre Ausschreibung explizit beziehen sollte.

Verschlüsselung

Verlangen Sie eine durchgehende Verschlüsselung für Zahlungsdaten, sowohl während der Übertragung als auch während der Speicherung. Formulieren Sie ganz klar: TLS 1.2+ oder TLS 1.3 für Daten während der Übertragung und AES-256 oder gleichwertig für gespeicherte Daten. Bitten Sie die Anbieter, zu erklären, wie sie Schlüssel verwalten: Verwenden sie Hardware-Sicherheitsmodule, rotieren sie Schlüssel nach einem festgelegten Zeitplan und schützen sie sie durch Aufgabentrennung? Eine Verschlüsselung ist nur so stark wie die Schlüsselverwaltung dahinter.

Tokenisierung

Bei der Tokenisierung werden rohe Kartennummern aus Ihrer Umgebung entfernt und durch zufällige Token ersetzt, die nur von den Systemen des Anbieters aufgelöst werden können. Machen Sie dies zur Anforderung und sagen Sie beispielsweise: „Daten von Karteninhaberinnen und Karteninhabern müssen tokenisiert werden, damit unsere Systeme niemals Rohdaten erfassen oder speichern.“ Fragen Sie, wie der Tresor des Anbieters gesichert ist und ob Token für wiederkehrende Zahlungen, Abonnements oder Rückerstattungen wiederverwendet werden können.

Authentifizierung und Zugriffskontrolle

Bitten Sie den Anbieter, zu beschreiben, wie er den Zugriff auf seine Plattform und APIs sichert. Die MFA sollte für jeden administrativen Zugriff auf Dashboards obligatorisch sein. Die SSO-Integration mit Ihrem Corporate-Identity-Anbieter ist ein zusätzlicher Pluspunkt. Fordern Sie detaillierte Informationen zu rollenbasiertem Zugriff und Prüfpfaden an: Können Sie verschiedenen Teammitgliedern unterschiedliche Zugriffsebenen zuweisen und können Sie nachverfolgen, wer was wann getan hat? Achten Sie bei APIs auf Kontrollen, die sicherstellen, dass nur autorisierte Systeme kommunizieren, z. B. bereichsbezogene Schlüssel, kurzlebige Token und Webhook-Signatur.

Kundenorientierte Authentifizierung

Die Betrugsprävention ist oft eng mit der Authentifizierung verbunden. Anbieter sollten erklären, wie sie 3D Secure, biometrische Authentifizierung in Digital Wallets und andere intensive Überprüfungen unterstützen, wenn Transaktionen riskant erscheinen oder wenn Vorschriften dies erfordern.

Wie kann ich Sicherheitsanforderungen für mobile und In-App-Zahlungen in eine Ausschreibung aufnehmen?

Eine Ausschreibung sollte zeigen, dass die mobilen Integrationen Ihres Anbieters Kartendaten genauso streng schützen wie Web- oder Point-of-Sale-Umgebungen, einschließlich Einzelheiten dazu, wie Kartendaten im SDK fließen, Zusicherungen, dass vertrauliche Informationen niemals mit der App in Berührung kommen, integrierte Wallet-Unterstützung und Beweise für proaktive Sicherheitstests.Mobile Zahlungen können genauso sicher sein wie jeder andere Kanal, aber nur, wenn die Integrationen des Anbieters unter diesem Gesichtspunkt entwickelt wurden.

Hier erfahren Sie, worauf Sie sich bei den Fragen in Ihrer Ausschreibung konzentrieren sollten:

  • PCI-konforme SDKs: Fragen Sie die Anbieter, ob ihre iOS- und Android-SDKs für PCI-Konformität validiert sind. Starke SDKs lassen niemals zu, dass Rohdaten von Karten mit Ihrer App in Berührung kommen. Sie verschlüsseln sie auf dem Gerät und senden sie direkt an die sicheren Server des Anbieters, sodass nur ein Token zurückgegeben wird.

  • Wallet- und Plattform-Unterstützung: Fordern Sie von den Anbietern die Unterstützung von Digital Wallets (z. B. Apple Pay, Google Pay, Samsung Pay) und die Erklärung, wie die auf dem Gerät generierten Token ihre Systeme durchlaufen. Starke Anbieter werden betonen, dass echte Kartennummern niemals das Gerät des Kunden/der Kundin verlassen und dass die biometrische Authentifizierung von der Wallet selbst durchgeführt wird. Dies ist eine der sichersten verfügbaren Zahlungsmethoden.

  • Geräte- und App-Schutz: Fragen Sie, wie das SDK mit kompromittierten Umgebungen umgeht. Erkennt es zum Beispiel gerootete oder Jailbreak-Geräte, verhindert es, dass vertrauliche Daten protokolliert werden, und schützt es die auf dem Telefon gespeicherten Schlüssel? Aussagekräftige Antworten beschreiben Schutzmaßnahmen wie Zertifikat-Pinning, eingeschränkte Speicherung und Laufzeitprüfungen, die Zahlungen unter unsicheren Bedingungen blockieren.

  • Updates und Tests: Verlangen Sie von den Anbietern eine Erklärung, wie oft sie ihre SDKs für Sicherheitspatches aktualisieren und wie sie auf Schwachstellen testen, da sich mobile Umgebungen schnell weiterentwickeln können. Achten Sie auf regelmäßige Penetrationstests und die Verpflichtung, Updates zu veröffentlichen, wenn neue iOS- oder Android-Versionen eingeführt werden.

Welche Berichts- und Prüfungsfunktionen sollten in einer Ausschreibung im Zahlungsbereich verlangt werden?

Finanz-, Sicherheits- und Compliance-Teams verwenden Analyse- und Reporting-Tools, um nachzuweisen, dass die Kontrollen funktionieren, um Zahlungen abzugleichen und auf kritische Fragen der Aufsichtsbehörden zu reagieren. Anbieter, die das Reporting ernst nehmen, beschreiben Dashboards, APIs, anpassbare Berichte, Prüfpfade, Compliance-Zertifizierungen und Warnmeldungen in konkreten Bedingungen – mit Einzelheiten zu Aufbewahrungsfristen, Formaten und Integrationen. Aus einer Ausschreibung sollte hervorgehen, ob ein Anbieter Ihnen echte Transparenz bieten kann oder nicht.

Hier sind die Funktionen, nach denen Sie fragen sollten, um mehr darüber zu erfahren.

Transaktions- und Finanzberichterstattung

Welche Berichte sind für Transaktionen, Zahlungsabwicklungen, Rückerstattungen, angefochtene Zahlungen und Transaktionsgebühren verfügbar? Welches Format haben die Berichte und können Sie sie durch Filter wie Datumsbereich, Geografie und Zahlungsmethode anpassen? Achten Sie auf Echtzeit-Dashboards und APIs, mit denen Sie detaillierte Daten in Ihre eigenen Systeme übernehmen können. Wenn Ihr Finanzteam Auszahlungen nicht einfach mit Bankeinlagen abgleichen kann, wird dies alles Nachgelagerte schwieriger machen.

Audit-Logs der Systemaktivität

Eine ausgereifte Plattform verfolgt jede sensible Aktion: Anmeldungen, Berechtigungsänderungen, Generierung von API-Schlüsseln, ausgestellte Rückerstattungen und aktualisierte Einstellungen. Fordern Sie detaillierte Audit-Logs sowohl für Systemereignisse als auch für die Aktivität der Nutzer/innen an. Fragen Sie, wie lange Logs aufbewahrt werden und ob sie unveränderlich sind. Die Möglichkeit, genau nachzuvollziehen, wer was wann getan hat, ist unerlässlich, wenn Sie mit einer internen Revision konfrontiert sind oder verdächtige Aktivitäten untersuchen.

Support bei externen Compliance-Audits

Ihre eigenen Prüfer könnten einen Nachweis verlangen, dass Ihr Zahlungsdienstleister das tut, was er vorgibt. Erkundigen Sie sich bei den Anbietern, welche Dokumentation sie zur Verfügung stellen (z. B. SOC 1, SOC 2, ISO-Zertifizierungen, PCI-DSS-Bescheinigungen) und wie diese Berichte weitergegeben werden. Einige bieten sie möglicherweise im Rahmen von Geheimhaltungsvereinbarungen an, andere verfügen womöglich über Kundenportale.

Echtzeitüberwachung und Warnungen

Starke Anbieter sollten über konfigurierbare Warnungen oder Webhooks verfügen, die Sie in Echtzeit über Anomalien informieren, wie z. B. einen Anstieg von Rückbuchungen, eine ungewöhnliche Häufung von abgelehnten Zahlungen oder einen Aufwärtstrend bei den API-Fehlerraten. Teams können ohne Frühwarnsysteme nicht schnell reagieren und Ihre Ausschreibung sollte deutlich machen, dass die Einsicht in Live-Metriken eine Voraussetzung ist.

Zugänglichkeit und Aufbewahrung von Daten

Möglicherweise benötigen Sie Transaktionshistorien und Prüfpfade über mehrere Jahre, um die Anforderungen der Finanzaufsichtsbehörden zu erfüllen. Fragen Sie Anbieter: „Wie lange werden Berichte und Audit-Logs aufbewahrt? Können wir sie zur Erfüllung unserer eigenen Compliance-Anforderungen exportieren und archivieren?“ Gute Anbieter verpflichten sich zu einer mehrjährigen Aufbewahrung mit einfachen Wegen, die Daten in Ihr eigenes Warehouse zu exportieren oder zu synchronisieren.

Welche Warnsignale in den Antworten der Anbieter auf die Ausschreibung deuten auf eine unzureichende Sicherheit oder Compliance hin?

Bei Ausschreibungen geht es darum, zu erkennen, was fehlt, aber auch, das Geschriebene zu bewerten. Von effektiven Anbietern erhalten Sie klare Antworten, die durch Einzelheiten und Beweise untermauert werden – alles andere ist ein Grund, langsamer zu werden und genauer nachzuforschen, bevor Sie weitermachen.

Hier sind die wichtigsten Warnsignale, auf die Sie bei der Bewertung von Ausschreibungen achten sollten:

  • Vage Formulierungen: Wenn eine Antwort Phrasen wie „modernste Sicherheitsvorkehrungen“ enthält, ohne tatsächliche Standards, Protokolle oder Zertifizierungen zu nennen, ist dies ein Signal dafür, dass der Anbieter keine Details liefern kann oder wird. Ein seriöser Anbieter wird sich auf PCI-DSS, SOC 2, ISO 27001, bestimmte Verschlüsselungsverfahren und konkrete Prozesse beziehen.

  • Fehlende unabhängige Validierung: Anbieter, die Zahlungen abwickeln, sollten externe Audits durchführen lassen. Wenn ein Anbieter nicht PCI-zertifiziert ist oder keine SOC- oder ISO-Berichte vorlegen kann, suchen Sie sich einen anderen Anbieter mit diesen Zertifizierungen.

  • Unklare Pläne für die Reaktion auf Vorfälle: Eine Ausschreibung sollte neben dokumentierten Wiederherstellungsplänen auch konkrete Zeitrahmen und getestete Pläne für Benachrichtigungen bei Sicherheitsverletzungen enthalten. Wenn sich der Anbieter mit Aussagen wie „wir benachrichtigen die Kunden/Kundinnen nach Bedarf“ absichert, haben Sie keine Garantie für eine rechtzeitige Kommunikation, wenn es darauf ankommt.

  • Verschiebung der Verantwortung: Achten Sie darauf, ob die Antworten darauf abzielen, wichtige Verpflichtungen wieder auf Ihr Team abzuwälzen (z. B. „Wir stellen die Tools zur Verfügung, aber die Compliance ist Aufgabe des Unternehmens“). Sie werden immer Verantwortung tragen, aber ein starker Anbieter teilt die Last mit Ihnen und bietet klare Unterstützung.

  • Veraltete Praktiken: Verweise auf schwache oder veraltete Standards (z. B. MD5 für Passwort-Hashing, ältere PCI-Versionen) signalisieren, dass die Sicherheit nicht auf dem neuesten Stand ist. Sie sollten moderne Verschlüsselung, MFA für den administrativen Zugriff und eine aktuelle PCI-DSS-Ausrichtung erwarten.

  • Widersprüche oder überzogene Versprechungen: Unstimmigkeiten zwischen den Antworten (z. B. die Behauptung, dass Daten nie gespeichert werden, aber zugleich die Aussage, dass sie im Ruhezustand verschlüsselt sind) lassen auf Nachlässigkeit oder schlechte interne Kommunikation schließen. Garantien wie „null Betrug“ oder „100 % Erreichbarkeit“ ohne Beweise sind ebenfalls suspekt.

So kann Stripe Payments Sie unterstützen

Stripe Payments bietet eine einheitliche, globale Zahlungslösung, mit der jedes Unternehmen – von wachsenden Start-ups bis hin zum globalen Konzernen – Zahlungen online, persönlich und weltweit akzeptieren kann.

Stripe Payments bietet Ihnen folgende Vorteile:

  • Optimieren Sie Ihren Bezahlvorgang: Schaffen Sie ein reibungsloses Kundenerlebnis und sparen Sie Tausende von Entwicklungsstunden mit vorgefertigten Zahlungs-Benutzeroberflächen, Zugang zu über 125 Zahlungsmethoden und Link, einer von Stripe entwickelten Wallet.

  • Neue Märkte schneller erschließen: Erreichen Sie Kundinnen und Kunden weltweit und reduzieren Sie die Komplexität und Kosten der Verwaltung mehrerer Währungen mit grenzüberschreitenden Zahlungsoptionen, die in 195 Ländern und über 135 Währungen verfügbar sind.

  • Online- und Präsenzzahlungen vereinheitlichen: Schaffen Sie Unified Commerce über Online- und Offline-Kanäle hinweg, um Interaktionen zu personalisieren, Treue zu belohnen und den Umsatz zu steigern.

  • Zahlungs-Performance verbessern: Steigern Sie Ihren Umsatz mit einer Reihe anpassbarer, einfach zu konfigurierender Zahlungstools, darunter eine No-Code-Betrugsvorbeugung und erweiterte Funktionen zur Verbesserung der Autorisierungsquoten.

  • Schnelleres Wachstum dank einer flexiblen, zuverlässigen Plattform: Bauen Sie auf einer Plattform auf, die mit Ihnen mitwächst, mit einer historischen Erreichbarkeit von 99,999 % und branchenführender Zuverlässigkeit.

Erfahren Sie mehr darüber, wie Stripe Payments Ihre Online- und Präsenzzahlungen unterstützen kann, oder starten Sie noch heute.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.