PCI-Konformität in Neuseeland: Anforderungen, Überlegungen und Best Practices

Connect
Connect

Die erfolgreichsten Plattformen und Marktplätze der Welt, darunter Shopify und DoorDash, nutzen Stripe Connect, um Zahlungen in ihre Produkte einzubinden.

Mehr erfahren 
  1. Einführung
  2. Das Wichtigste auf einen Blick
  3. Was ist PCI-Konformität in NZ?
  4. Warum ist PCI-Konformität für neuseeländische Unternehmen wichtig?
  5. Wie funktioniert die PCI-Konformität?
  6. Welche Anforderungen an die PCI-Konformität gelten für Unternehmen in Neuseeland?
    1. 1. Erstellung und Aufrechterhaltung eines sicheren Netzwerks
    2. 2. Schutz der Kontodaten
    3. 3. Unterhaltung eines Vulnerability-Management-Programms
    4. 4. Implementierung starker Zugangskontrollen
    5. 5. Überwachung und Prüfung von Netzwerken
    6. 6. Aufrechterhaltung einer Informationssicherheitsrichtlinie
  7. Vor welchen Herausforderungen stehen neuseeländische Unternehmen bei der PCI-Konformität?
    1. Größerer Umfang als erwartet
    2. Veraltete Infrastruktur
    3. Missverständnisse darüber, was eine Auslagerung abdeckt
    4. Personalfluktuation und Schulungslücken
    5. Das Problem der SAQ-Auswahl
  8. Wie können neuseeländische Unternehmen die PCI-Konformität sicherstellen?
    1. Nutzen Sie einen Zahlungsanbieter, der Kartendaten aus Ihren Systemen fernhält
    2. Kartieren Sie zuerst Ihre Datenflüsse
    3. Holen Sie den richtigen SAQ ein
    4. Nehmen Sie Penetrationstests ernst
    5. Weisen Sie klare interne Verantwortlichkeiten zu
    6. Integrieren Sie die Beweissicherung in Ihre Betriebsabläufe
  9. So kann Stripe Connect Sie unterstützen

Die Verluste durch Betrug und Kartenbetrug beliefen sich im Jahr 2024 auf 194 Millionen Neuseeland-Dollar (NZD) und steigen weiter an. Auch wenn es nach neuseeländischem Recht nicht vorgeschrieben ist, wird von Unternehmen, die Kartenzahlungen im Land akzeptieren, erwartet, dass sie den Payment Card Industry Data Security Standard (PCI DSS) erfüllen. Kartennetzwerke setzen die Einhaltung durch Händlervereinbarungen durch. Die Nichteinhaltung kann zu Geldstrafen, höheren Transaktionskosten oder sogar zum Verlust der Möglichkeit, Kartenzahlungen zu akzeptieren, führen.

Im Folgenden gehen wir auf die PCI DSS-Anforderungen, die häufigsten Compliance-Herausforderungen für neuseeländische Unternehmen und die erfolgreiche Umsetzung der Compliance ein.

Das Wichtigste auf einen Blick

  • Die Einhaltung der PCI DSS-Vorgaben wird durch Händlervereinbarungen mit Kartennetzwerken und Acquirer-Banken durchgesetzt und nicht durch neuseeländisches Recht. Die finanziellen und operativen Folgen einer Nichteinhaltung sind jedoch erheblich.

  • Der Umfang Ihrer Compliance-Verpflichtungen hängt davon ab, wie viele Karteninhaberdaten Ihre Systeme verarbeiten. Sie können den Compliance-Prozess vereinfachen, indem Sie Ihr Risiko reduzieren.

  • Die Auswahl des richtigen Selbstauskunfts-Fragebogens (SAQ) und die Zuweisung klarer interner Verantwortlichkeiten sind zwei der wichtigsten Entscheidungen, die sich auf den Compliance-Erfolg eines neuseeländischen Unternehmens auswirken.

Was ist PCI-Konformität in NZ?

PCI-Konformität bedeutet, dass die globalen PCI DSS-Anforderungen hinsichtlich eines sicheren Netzwerks, der Daten von Karteninhaber/innen sowie der Zugriffskontrolle und Informationssicherheit erfüllt werden. Diese Maßnahmen müssen von allen Unternehmen eingehalten werden, die mit Karteninhaberdaten umgehen – vom Café, das kontaktlose Zahlungen entgegennimmt, bis hin zum Softwareunternehmen, das weltweit Abonnent/innen abrechnet.

Warum ist PCI-Konformität für neuseeländische Unternehmen wichtig?

Die durch Kartenbetrug in Neuseeland verursachten Verluste belaufen sich auf Hunderte Millionen Dollar pro Jahr. Compliance hilft dabei, die Daten der Karteninhaber/in zu schützen und das Betrugsrisiko zu verringern.

Die Folgen der Nichteinhaltung lassen sich in verschiedene Kategorien einteilen:

  • Strafen: Zahlungsnetzwerke und Acquirer können Geldstrafen verhängen. Diese können je nach Schwere des Verstoßes von Hunderten bis zu Hunderttausenden von Dollar reichen.

  • Höhere Transaktionskosten: Acquirer können nicht konforme Unternehmen in höhere Interchange-Stufen verschieben.

  • Haftung bei Betrugsverlusten: Im Falle eines Verstoßes und fehlender Compliance zum Zeitpunkt des Verstoßes können Sie von Ihrer Versicherung und Ihrem Acquirer für die Kosten für betrügerische Transaktionen, den Kartenersatz und die forensische Untersuchung haftbar gemacht werden.

  • Beendigung der Kartenakzeptanz: In schwerwiegenden Fällen können Acquirer oder Prozessoren Ihnen die Möglichkeit entziehen, Kartenzahlungen zu akzeptieren.

Es kann auch zu Rufschädigung kommen. Der neuseeländische Privacy Act 2020 schreibt vor, dass Unternehmen betroffene Personen und den Privacy Commissioner nach einer Datenschutzverletzung, die schweren Schaden verursacht hat, benachrichtigen.

Wie funktioniert die PCI-Konformität?

PCI DSS organisiert seine Anforderungen rund um die Karteninhaberdatenumgebung (CDE). Dazu gehören die Systeme, Personen und Prozesse, die Karteninhaberdaten speichern, abwickeln oder übertragen. Der Umfang Ihrer Compliance-Verpflichtungen hängt maßgeblich von der Größe und Form Ihrer CDE ab.

Der aktuelle Standard ist PCI DSS 4.x, den das Security Standards Council im März 2022 mit einer Übergangsfrist veröffentlicht hat, die ihn ab März 2024 zur einzigen aktiven Version machte. Version 4.0 führte größere Änderungen ein, die mehr Flexibilität bei der Erfüllung bestimmter Anforderungen durch Unternehmen bieten. Seitdem wurden kleinere Updates veröffentlicht, die wesentlichen Prinzipien sind jedoch gleich geblieben. Die Konformität wird durch SAQs oder formelle Prüfungen durch einen qualifizierten Sicherheitsprüfer (QSA) validiert. Sie hängt auch von Ihrem Transaktionsvolumen und Ihrem Umgang mit Kartendaten ab:

  • SAQ A: Dies ist im Allgemeinen der einfachste Weg und gilt für Unternehmen, die die Kartenverarbeitung vollständig ausgelagert haben und selbst nicht mit den Daten der Karteninhaber/innen in Berührung kommen.

  • SAQ A-EP: Gilt in der Regel, wenn Sie die Zahlungsseite eines Drittanbieters nutzen, die Weiterleitung jedoch über Ihre eigene Website abgewickelt wird.

  • SAQ D: Der umfassendste Weg. SAQ D gilt für Unternehmen, die Karteninhaberdaten speichern oder auf eine Art und Weise abwickeln, die nicht in eine einfachere Kategorie passt.

  • Händler/innen auf Stufe 1: Händler/innen auf Stufe 1, z. B. solche, die jährlich mehr als 6 Millionen Visa- oder Mastercard-Transaktionen abwickeln, müssen einen Compliance-Bericht (Report on Compliance, ROC) von einem QSA vorlegen.

Viele kleine bis mittelständische Unternehmen in Neuseeland qualifizieren sich für einen der SAQ-Wege. Welcher das ist, hängt maßgeblich von Ihrem Zahlungsintegrationsmodell ab.

Welche Anforderungen an die PCI-Konformität gelten für Unternehmen in Neuseeland?

Der PCI DSS enthält 12 Kernanforderungen. Diese Anforderungen sind in sechs Kontrollziele unterteilt:

1. Erstellung und Aufrechterhaltung eines sicheren Netzwerks

Installieren und warten Sie Netzwerksicherheitskontrollen. Dies ist die Grundlage für erfolgreiche Compliance.

2. Schutz der Kontodaten

Verwenden Sie starke Kryptographie zum Schutz der gespeicherten Karteninhaberdaten. Speichern Sie nach der Autorisierung niemals die Kartenprüfnummer und stellen Sie sicher, dass die Übertragung der Karteninhaberdaten über offene, öffentliche Netzwerke verschlüsselt erfolgt.

3. Unterhaltung eines Vulnerability-Management-Programms

Schützen Sie Systeme vor Malware und entwickeln Sie sichere Systeme und Software. Dazu gehören Patch-Pläne, Schwachstellenscans und Anwendungssicherheitstests.

4. Implementierung starker Zugangskontrollen

Karteninhaberdaten sollten nach dem Need-to-know-Prinzip eingeschränkt werden. Identifizieren und authentifizieren Sie jede Nutzer/in anhand eindeutiger Anmeldedaten und beschränken Sie den physischen Zugang zu den Systemen, auf denen Karteninhaberdaten gespeichert sind oder verarbeitet werden.

5. Überwachung und Prüfung von Netzwerken

Überwachen und protokollieren Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten. Testen Sie Sicherheitssysteme und Prozesse regelmäßig. Führen Sie in vielen Umgebungen Schwachstellenscans und Penetrationstests durch.

6. Aufrechterhaltung einer Informationssicherheitsrichtlinie

Erstellen Sie eine Richtlinie, die Informationssicherheit für alle Mitarbeitenden umfasst sowie Schulungen und klare Zuständigkeiten vorsieht.

Einige dieser Anforderungen können in den Verantwortungsbereich des Anbieters fallen, sofern das neuseeländische Unternehmen seine Online- oder Vor-Ort-Zahlungslösung ordnungsgemäß integriert hat.

Vor welchen Herausforderungen stehen neuseeländische Unternehmen bei der PCI-Konformität?

Das Erlangen der PCI-Konformität kann neuseeländische Unternehmen vor vorhersehbare Probleme stellen. Sobald Sie wissen, wo Fehler passieren, wird die Compliance beherrschbar.

Größerer Umfang als erwartet

Ein häufiges Compliance-Problem ist die Unterschätzung des Umfangs der CDE. Jedes System, das mit Ihrer CDE verbunden ist – unabhängig davon, ob Ihnen dies bewusst ist oder nicht – fällt unter die PCI DSS-Anforderungen. Unternehmen stellen möglicherweise fest, dass ihre CDE viel größer ist als angenommen, sobald sie mit der Kartierung der Datenflüsse beginnen.

Veraltete Infrastruktur

Viele Unternehmen in Neuseeland verwenden möglicherweise ältere POS-Hardware (Point of Sale) und lokale Software, die nicht für PCI DSS 4.0 entwickelt wurde. Upgrades können teuer sein und zu Unterbrechungen führen. Die Aufrechterhaltung der Compliance bei Legacy-Systemen kann zusätzliche Komplexität bedeuten.

Missverständnisse darüber, was eine Auslagerung abdeckt

Die Nutzung eines PCI-konformen Zahlungsanbieters macht Ihr Unternehmen nicht automatisch konform. Ihre Website könnte beispielsweise eine Schwachstelle aufweisen, die es Angreifern ermöglicht, Kartendaten abzufangen, bevor sie das Zahlungsformular des Anbieters erreichen. Ein solcher Sicherheitsverstoß ist dann Ihr Problem. Die Grenze zwischen Ihrer Verantwortung und der Ihres Anbieters muss klar definiert sein.

Personalfluktuation und Schulungslücken

PCI DSS schreibt Schulungen zum Sicherheitsbewusstsein für alle Mitarbeiter/innen vor, die mit den Daten von Karteninhaber/innen interagieren. In Branchen mit hoher Personalfluktuation kann es schwierig sein, den Schulungsstand aktuell zu halten.

Das Problem der SAQ-Auswahl

Stellen Sie sicher, dass Sie den richtigen SAQ auswählen. Ein Unternehmen, das der Meinung ist, die Voraussetzungen für SAQ A zu erfüllen, aber tatsächlich noch an der Verarbeitung von Karteninhaberdaten beteiligt ist, meldet seine Compliance-Verpflichtungen möglicherweise erheblich zu niedrig.

Wie können neuseeländische Unternehmen die PCI-Konformität sicherstellen?

Eine gute Möglichkeit zur Reduzierung Ihres Compliance-Aufwands ist die Reduzierung Ihrer Karteninhaberdatenumgebung (CDE).

Ziehen Sie die folgenden Ansätze in Betracht:

Nutzen Sie einen Zahlungsanbieter, der Kartendaten aus Ihren Systemen fernhält

Zahlungsanbieter wie Stripe, die Tokenisierung und gehostete Zahlungsfelder nutzen, erfassen Kartendaten direkt in ihrer Umgebung, sodass Ihre Server keine unverschlüsselten Kartennummern erhalten. In Kombination mit der PCI-Zertifizierung als Service Provider Level 1 kann dies den Compliance-Prozess für viele Unternehmen vereinfachen.

Kartieren Sie zuerst Ihre Datenflüsse

Sie können den Umfang einer PCI-Bewertung nicht bestimmen, ohne zu wissen, wohin die Daten der Karteninhaber/innen fließen. Kartieren Sie sorgfältig jedes System, das mit Kartendaten in Berührung kommen könnte. Immer wenn Sie eine neue Integration hinzufügen, Ihren Bezahlvorgang aktualisieren oder Ihr Customer-Relationship-Management-System (CRM-System) ändern, müssen Sie auch die Karte aktualisieren.

Holen Sie den richtigen SAQ ein

Sprechen Sie mit Ihrer Acquirer-Bank oder einem QSA, bevor Sie sich für einen SAQ (Self-Assessment Questionnaire) entscheiden. Die Kartennetzwerke veröffentlichen Kriterien für die Berechtigung zum Ausfüllen eines SAQ, und die richtige Entscheidung ist nicht immer offensichtlich. Wenn Sie sich frühzeitig falsch entscheiden, verstärkt jede nachfolgende Compliance-Entscheidung den Fehler.

Nehmen Sie Penetrationstests ernst

Penetrationstests haben einen erheblichen Einfluss auf Ihren Compliance-Erfolg. Ein echter Test Ihrer CDE, einschließlich Ihrer Zahlungsseiten, Authentifizierungsmechanismen und der internen Netzwerksegmentierung, kann Schwachstellen aufdecken, die bei automatisierten Scans unentdeckt bleiben.

Weisen Sie klare interne Verantwortlichkeiten zu

PCI-Konformität kann unter den Tisch fallen, wenn davon ausgegangen wird, dass sich jemand darum kümmert, z. B. die IT, Ihr CFO oder die Person, die ursprünglich das Zahlungssystem eingerichtet hat. Jede Anforderung muss einer benannten Person zugewiesen werden.

Integrieren Sie die Beweissicherung in Ihre Betriebsabläufe

Prüfer/innen benötigen Beweise. Schwachstellenscans, Zugriffsprotokolle, Aufzeichnungen über abgeschlossene Schulungen und Patch-Historien müssen vorhanden und abrufbar sein. Es ist weitaus weniger aufwendig, diese Dokumentation in Ihre regulären Abläufe zu integrieren, als sie vor einer Prüfung zu rekonstruieren.

So kann Stripe Connect Sie unterstützen

Stripe Connect orchestriert Geldbewegungen unter mehreren Parteien für Softwareplattformen und Marktplätze. Es bietet schnelles Onboarding, integrierte Komponenten, globale Auszahlungen und mehr.

Mit Connect können Sie Folgendes umsetzen:

  • Markteinführung innerhalb weniger Wochen: Nutzen Sie von Stripe gehostete oder integrierte Funktionalität, um schneller live zu gehen. Vermeiden Sie die Vorlaufkosten und die Entwicklungszeit, die normalerweise für Zahlungsvermittlungen erforderlich sind.

  • Skalierende Zahlungsverwaltung: Nutzen Sie Tools und Services von Stripe, damit Sie keine zusätzlichen Ressourcen für Margin-Reporting, Steuerformulare, Risiken, globale Zahlungsmethoden oder Onboarding-Compliance aufwenden müssen.

  • Weltweites Wachstum: Helfen Sie Ihren Nutzerinnen und Nutzern, mehr Kundinnen und Kunden weltweit zu erreichen – mit lokalen Zahlungsmethoden und der Möglichkeit, Umsatzsteuer, Sales Tax (Verkaufssteuer) und GST einfach zu berechnen.

  • Schaffung neuer Umsatzquellen: Optimieren Sie den Zahlungsumsatz, indem Sie Gebühren für jede Transaktion einziehen. Monetarisieren Sie die Funktionen von Stripe, indem Sie Vor-Ort-Zahlungen, sofortige Auszahlungen, Einzug der Sales Tax, Finanzierung, Firmenkreditkarten und mehr auf Ihrer Plattform ermöglichen.

Erfahren Sie mehr über Stripe Connect oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Connect

Connect

Gehen Sie innerhalb von Wochen statt Quartalen live und etablieren Sie ein profitables Zahlungsgeschäft, das sich mühelos skalieren lässt.

Dokumentation zu Connect

Erfahren Sie, wie Sie Zahlungen zwischen mehreren Parteien vornehmen können.