Leitfaden für PCI-Konformität

Payment Card Industry Data Security Standards (PCI DSS) legt den Mindeststandard für die Datensicherheit fest. In diesem detaillierten Leitfaden erfahren Sie, wie Sie Ihre Konformität wahren und wie Stripe Sie dabei unterstützen kann.

Profilfoto von Mike Dahn
Mike Dahn

Mike Dahn ist verantwortlich für die Sicherheitsrichtlinien und deren Interdependenzen bei Stripe. Er ist ein PCI-Trainer, -Auditor und -Implementierer.

  1. Einführung
  2. PCI Data Security Standard (PCI DSS) – Übersicht
    1. Umgang mit Kartenangaben
    2. Sicheres Speichern von Daten
    3. Jährliche Validierung
  3. Detaillierter Leitfaden zur PCI DSS-Konformität v3.2.1
    1. 1. Machen Sie sich mit Ihren Anforderungen vertraut
    2. 2. Visualisieren Sie Ihre Datenflüsse
    3. 3. Überprüfen Sie Ihre Sicherheitskontrollen und -protokolle
    4. 4. Kontrolle und Wartung
  4. Wie Stripe Organisationen beim Erlangen und Erhalten der PCI-Konformität unterstützt
  5. Fazit
    1. PCI-Konformität ist ein wichtiger Schritt, reicht aber alleine nicht aus.

Seit dem Jahr 2005 waren über elf Milliarden Kundendatensätze von mehr als 8.500 Datenschutzverletzungen betroffen. Das besagen die aktuellen Zahlen des Privacy Rights Clearinghouse, das seit 2005 verbraucherschutzrelevante Datenlecks und Sicherheitslücken erfasst.

Um die Sicherheit von Verbraucherdaten und das Vertrauen ins Zahlungssystem zu verbessern, wurde ein Mindeststandard für Datensicherheit geschaffen. Visa, Mastercard, American Express, Discover und JCB haben sich zusammengetan und daraus ist 2006 das Payment Card Industry Security Standards Council (PCI SSC) hervorgegangen. Seine Aufgabe besteht darin, Sicherheitsstandards für Unternehmen, die Kreditkarteninformationen verarbeiten, zu verwalten und umzusetzen. Vor der Gründung des PCI SSC hatten alle fünf genannten Kreditkartenunternehmen ihre eigenen Sicherheitsstandardprogramme, deren Anforderungen und Ziele in etwa übereinstimmten. Sie schlossen sich über das PCI SSC zusammen, um sich an einer einzigen Standardrichtlinie, den PCI Data Security Standards (PCI DSS), zu orientieren, in der Absicht, einen Grundschutz für Verbraucher/innen und Banken im Internet-Zeitalter zu gewährleisten.

Komplexe PCI DSS-Anforderungen verstehen

Wenn Ihr Geschäftsmodell die Verarbeitung von Kartendaten erfordert, müssen Sie möglicherweise alle 300+ Sicherheitskontrollen des PCI DSS erfüllen. Der PCI-Beirat hat mehr als 1.800 Seiten offizieller Unterlagen zum PCI DSS veröffentlicht und allein mehr als 300 Seiten, die nur beschreiben, welche Formulare zur Konformitätsvalidierung erforderlich sind. Allein das zu lesen würde über drei Tage in Anspruch nehmen.

Um Unternehmen das Leben zu erleichtern, haben wir einen detaillierten Leitfaden zum Thema Konformitätsvalidierung und -wahrung erstellt.

PCI Data Security Standard (PCI DSS) – Übersicht

PCI DSS ist der globale Sicherheitsstandard für alle Organisationen, die Karteninhaberinformationen und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. PCI DSS legt einen Grundverbraucherschutz fest und hilft dabei, Datenschutzverletzungen und Betrugsfälle innerhalb des gesamten Zahlungssystems zu reduzieren. PCI DSS gilt für alle Organisationen, die Zahlungskarten akzeptieren und verarbeiten.

PCI DSS-Konformität umfasst drei Hauptkomponenten:

  1. Den Umgang mit eingehenden Kreditkarteninformationen von Kund/innen, das heißt sicheres Sammeln und Übertragen von sensiblen Kartendaten
  2. Sicheres Speichern von Daten, das in den 12 Sicherheitsdomänen des PCI-Standards erläutert ist, wie Verschlüsselung, laufende Überwachung und Sicherheitstests für den Zugriff auf Kartendaten
  3. Jährliche Überprüfung der Einhaltung dieser erforderlichen Sicherheitskontrollen, inklusive u. a. Formularen, Fragebögen, externes Sicherheitslücken-Scanning und Überprüfungen durch Drittparteien (eine Übersicht der vier Anforderungsstufen finden Sie im detaillierten Leitfaden)

Umgang mit Kartenangaben

Manche Geschäftsmodelle erfordern den direkten Umgang mit sensiblen Kreditkartendaten bei der Annahme von Zahlungen, andere nicht. Unternehmen, die mit diesen Daten arbeiten (z. B. bei der Annahme nicht-tokenisierter PANs auf einer Bezahlseite) müssen gegebenenfalls die mehr als 300 Sicherheitskontrollen des PCI DSS erfüllen. Selbst wenn die Kartendaten nur für einen kurzen Moment seine Server durchläuft, muss das Unternehmen Sicherheitssoftware und -hardware kaufen, einsetzen und warten.

Wenn es für ein Unternehmen nicht erforderlich ist, mit sensiblen Kartendaten zu arbeiten, dann sollte es das auch nicht tun. Drittanbieter (wie Stripe Elements) akzeptieren und speichern die Daten auf sichere Weise, sodass unnötige Risiken, Kosten und Komplexität entfallen. Da sein Server niemals mit Kartendaten in Berührung kommt, muss das Unternehmen lediglich 22 Sicherheitskontrollen durchlaufen, die in der Regel relativ unkompliziert sind (z. B. das Verwenden starker Passwörter).

Sicheres Speichern von Daten

Ein Unternehmen, das Kreditkartendaten handhabt oder sie speichert, muss den Umfang seiner Karteninhaberdatenumgebung (CDE) definieren. PCI DSS fasst unter CDE alle Personen, Verfahren und Technologien zusammen, die Kreditkartendaten speichern, verarbeiten oder übertragen – oder jegliche damit verbundenen Systeme. Da CDE allen 300+ Sicherheitsanforderungen des PCI DSS unterliegt, ist es wichtig, die Zahlungsumgebung strikt vom Rest des Unternehmens abzugrenzen, um den Umfang der PCI-Validierung zu verringern. Wenn ein Unternehmen den CDE-Bereich nicht abgrenzen kann, müsste jedes einzelne System, jeder Laptop und jedes noch so kleine Gerät des Unternehmensnetzwerks alle PCI-Sicherheitskontrollen durchlaufen und das wäre ein regelrechter Albtraum!

Jährliche Validierung

Unabhängig von der Art, wie Kartendaten angenommen werden, müssen Unternehmen jedes Jahr ein PCI-Validierungsformular ausfüllen. Die Validierung der PCI-Konformität hängt von unterschiedlichen Faktoren ab, die weiter unten erläutert sind. In den folgenden drei Szenarien könnte ein Unternehmen aufgefordert werden, seine PCI-Konformität nachzuweisen:

  • Zahlungsabwickler könnten es als Teil ihrer Berichte anfordern, die sie an die Zahlungskartenmarken liefern müssen.
  • Geschäftspartner könnten es als Bedingung anfordern, einen Geschäftsvertrag einzugehen.
  • Bei Plattform-Unternehmen (solche, deren Technologie Online-Transaktionen zwischen mehreren unterschiedlichen Nutzergruppen ermöglicht) könnten Kund/innen diesen Nachweis anfordern, um wiederum ihren Kund/innen zu zeigen, dass sie sicher mit Daten umgehen.

Die aktuellsten Sicherheitsstandards, PCI DSS Version 3.2.1 enthalten 12 Hauptanforderungen mit mehr als 300 Unteranforderungen, die die Best Practices in Sachen Sicherheit widerspiegeln.

ENTWICKELN SIE SICHERE NETZWERKE UND SYSTEME UND WARTEN SIE DIESE REGELMÄẞIG

  • 1. Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen.
  • 2. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter.

SCHÜTZEN SIE KARTENINHABERDATEN

  • 3. Schützen Sie gespeicherte Karteninhaberdaten.
  • 4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene oder öffentliche Netzwerke.

IMPLEMENTIEREN SIE EIN SICHERHEITSLÜCKEN-MANAGEMENTPROGRAMM

  • 5. Schützen Sie alle Systeme vor Malware und aktualisieren Sie Ihre Antivirus-Software regelmäßig.
  • 6. Entwickeln Sie sichere Systeme und Anwendungen und warten Sie sie regelmäßig.

ERGREIFEN SIE STRIKTE ZUGRIFFSKONTROLLMAẞNAHMEN

  • 7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach dem „Need to Know“-Prinzip.
  • 8. Identifizieren und authentifizieren Sie den Zugang zu Systemkomponenten.
  • 9. Beschränken Sie den physischen Zugang zu Karteninhaberdaten.

KONTROLLIEREN UND TESTEN SIE NETZWERKE REGELMÄẞIG

  • 10. Verfolgen und kontrollieren Sie den Zugriff auf Netzwerkressourcen und Karteninhaberdaten.
  • 11. Testen Sie Sicherheitssysteme und -abläufe regelmäßig.

BEFOLGEN SIE STRIKTE INFORMATIONSSICHERHEITSRICHTLINIEN

  • 12. Implementieren Sie Richtlinien, die die Dateninformationssicherheit aller Mitarbeiter/innen behandeln.

Um Unternehmen die PCI-Konformität zu erleichtern, hat der PCI-Beirat neun verschiedene Selbstbewertungsfragebögen (SAQ) erstellt, die eine Untergruppe der PCI DSS-Gesamtanforderungen darstellen. Sie müssen nur herausfinden, welcher der richtige Fragebogen ist und ob es notwendig ist, eine/n vom PCI-Beirat genehmigte/n Prüfer/in anzuheuern, der/die bestätigt, dass alle PCI DSS-Sicherheitsanforderungen erfüllt wurden. Darüber hinaus überarbeitet der PCI-Beirat die Regeln alle drei Jahre und veröffentlicht über das Jahr hinzukommende Änderungen und Aktualisierungen, wodurch die Komplexität noch verschärft wird.

Detaillierter Leitfaden zur PCI DSS-Konformität v3.2.1

1. Machen Sie sich mit Ihren Anforderungen vertraut

Für die korrekte Erreichung der PCI-Konformität müssen Sie zunächst einmal die entsprechenden Anforderungen für Ihr Unternehmen kennen. Es gibt vier verschiedene PCI-Compliance-Level; in der Regel hängt die Einstufung Ihres Unternehmens davon ab, wie viele Kreditkartentransaktionen es über einen Zeitraum von 12 Monaten abwickelt.

Konformitäts-Level
Trifft zu auf
Anforderungen
Level 1
  1. Organisationen, die jährlich mehr als 6 Millionen Transaktionen über Visa oder MasterCard oder mehr als 2,5 Millionen Transaktionen über American Express abwickeln; oder
  2. eine Datenschutzverletzung erfahren haben; oder
  3. von allen Kartenverbänden (Visa, Mastercard usw.) als Level 1 eingestuft werden
  1. Jährlicher Konformitätsbericht (ROC) durch eine/n qualifizierte/n Sicherheitsprüfer/in (Qualified Security Assessor; QSA) – auch bekannt als Level-1-Standortprüfung – oder interne Prüfung, wenn eine/r der Unternehmensleiter/innen unterschreibt
  2. Vierteljährlicher Netzwerk-Scan durch anerkannten Scan-Anbieter (Approved Scan Vendor; ASV)
  3. Konformitätsbescheinigung (Attestation of Compliance; AOC) für Standortprüfungen – es gibt bestimmte Formulare für Händler und Dienstleister
Level 2
Organisationen, die jährlich zwischen 1 und 6 Millionen Transaktionen abwickeln
  1. Jährlicher PCI DSS Selbstbewertungsfragebogen (Self-Assessment Questionnaire; SAQ) – in der Tabelle unten werden die 9 bestehenden SAQ-Typen kurz beschrieben
  2. Vierteljährlicher Netzwerk-Scan durch anerkannten Scan-Anbieter (Approved Scan Vendor; ASV) Konformitätsbescheinigung
  3. Konformitätsbescheinigung (Attestation of Compliance; AOC) – es gibt ein entsprechendes AOC-Formular für jeden der 9 SAQs
Level 3
  1. Organisationen, die jährlich zwischen 20.000 und 1 Million Online-Transaktionen abwickeln
  2. Organisationen, die jährlich insgesamt weniger als 1 Million Transaktionen abwickeln
Wie oben beschrieben
Level 4
  1. Organisationen, die jährlich weniger als 20.000 Online-Transaktionen abwickeln; oder
  2. Organisationen, die jährlich insgesamt bis zu 1 Million Transaktionen abwickeln
Wie oben beschrieben

Für Level 2 bis 4 existieren unterschiedliche SAQ-Typen, abhängig von Ihrer Zahlungsintegrationsmethode. Hier erhalten Sie eine kurze Übersicht:

SAQ (Selbstbewertungsfragebogen)
Beschreibung
A
„Card-not-present“-Händler (wie bei E-Commerce oder E-Mail- bzw. Telefonbestellungen), die alle Karteninhaberdatenfunktionen an vom PCI DSS genehmigte Drittanbieter ausgelagert haben, ohne elektronische Speicherung, Verarbeitung oder Übertragung jedweder Karteninhaberinformationen in den Systemen oder Räumlichkeiten des Händlers.

Trifft nicht auf Face-to-Face-Channels zu.
A-EP
E-Commerce-Händler, die alle Zahlungsabwicklungen an von PCI DSS validierte Drittparteien auslagern und deren Website oder Websites Karteninhaberinformationen nicht direkt erhält bzw. erhalten, die aber die Sicherheit der Zahlungstransaktion gefährden könnten. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten in den Systemen oder Räumlichkeiten des Händlers.

Trifft nur auf E-Commerce-Kanäle zu.
B
Händler, die nur Folgendes nutzen:
  • Imprint-Geräte ohne elektronische Speicherung von Karteninhaberinformationen; und/oder
  • Eigenständige Dial-out-Terminals ohne elektronischen Karteninhaberdatenspeicher.
Trifft nicht auf E-Commerce-Kanäle zu.
B-IP
Händler, die nur eigenständige, PTS-anerkannte Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler ohne elektronischen Karteninhaberdatenspeicher nutzen.

Trifft nicht auf E-Commerce-Kanäle zu.
C-VT
Händler, die manuell jeweils nur eine einzelne Transaktion über eine Tastatur in eine internetbasierte, virtuelle Zahlungsterminallösung eingeben, die von einem durch PCI DSS validierten Drittanbieter angeboten und gehostet wird. Keine elektronische Speicherung von Karteninhaberinformationen.

Trifft nicht auf E-Commerce-Kanäle zu.
C
Händler, deren Zahlungsanwendungssysteme mit dem Internet verbunden sind, ohne elektronischen Karteninhaberdatenspeicher.

Trifft nicht auf E-Commerce-Kanäle zu.
P2PE
Händler, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, von PCI SSC aufgelisteten Point-to-Point-Encryption-Lösung (P2PE) enthalten sind und über diese verwaltet werden, ohne elektronischen Karteninhaberdatenspeicher.

Trifft nicht auf E-Commerce-Kanäle zu.
D
SAQ D FÜR HÄNDLER: Alle Händler, die nicht in den Beschreibungen für die oben genannten SAQ-Typen enthalten sind.

SAQ D FÜR DIENSTLEISTER: Alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, einen SAQ auszufüllen.

2. Visualisieren Sie Ihre Datenflüsse

Bevor Sie sensible Kreditkarteninformationen schützen können, müssen Sie erst wissen, wo diese Daten sind und wie sie dorthin gelangen. Sie müssen eine umfassende Übersicht der Systeme, Netzwerkverbindungen und Anwendungen erstellen, die mit den Kreditkartendaten innerhalb Ihres Unternehmens interagieren. Je nach Ihrer Position, werden Sie dazu vermutlich mit den IT- und Sicherheitsteams zusammenarbeiten müssen.

  • Identifizieren Sie zunächst jeden verbraucherorientierten Bereich Ihres Unternehmens, der an Zahlungstransaktionen beteiligt ist, zum Beispiel wenn Sie Zahlungen über einen Online-Einkaufswagen, In-Store-Zahlungsterminals oder Telefonbestellungen annehmen.
  • Der nächste Schritt besteht darin, genau festzustellen, wie Karteninhaberinformationen innerhalb Ihres Unternehmens gehandhabt werden. Es ist wichtig, genau zu wissen, wo die Daten gespeichert werden und wer darauf Zugriff hat.
  • Identifizieren Sie dann die internen Systeme oder zugrundeliegenden Technologien, von denen Zahlungstransaktionen betroffen sind. Dazu zählen Ihre Netzwerksysteme, Datencenter und Cloud-Umgebungen.

3. Überprüfen Sie Ihre Sicherheitskontrollen und -protokolle

Sobald Sie eine Übersicht aller potentiellen Touchpoints für Kreditkartendaten innerhalb Ihres Unternehmens erstellt haben, arbeiten Sie mit Ihren IT- und Sicherheitsteams zusammen, um sicherzustellen, dass die richtigen Sicherheitskonfigurationen und -protokolle vorhanden sind (weiter oben finden Sie eine Liste von 12 Sicherheitsanforderungen für PCI DSS). Diese Protokolle dienen dazu, die Datenübertragung zu sichern (z. B. Transport Layer Security – TLS).

Die 12 Sicherheitsanforderungen für PCI DSS v3.2.1 basieren auf bewährten Verfahren zum Schutz sensibler Daten für alle Unternehmen. Einige überschneiden sich mit den Anforderungen der Datenschutzmandate für DSGVO, HIPAA und andere, sodass manche davon in Ihrem Unternehmen bereits in Kraft sind.

4. Kontrolle und Wartung

Es ist wichtig, sich klarzumachen, dass PCI-Konformität kein einmaliges Ereignis ist, sondern vielmehr ein kontinuierlicher Prozess, der Konformität auch dann wahrt, wenn Datenflüsse und Kunden-Touchpoints sich weiterentwickeln. Bei einigen Kreditkartenmarken müssen Sie möglicherweise vierteljährliche oder jährliche Berichte einreichen oder eine jährliche Standortprüfung durchführen, um laufende Konformität zu validieren, insbesondere, wenn Sie mehr als 6 Millionen Transaktionen pro Jahr abwickeln.

Die Verwaltung der jährlichen PCI-Konformität (sowie im Jahresvergleich) erfordert häufig Zusammenarbeit und Unterstützung innerhalb der verschiedenen Abteilungen. Es wäre nicht verkehrt, ein spezielles Team zusammenzustellen, das sich intern um die Konformität kümmert. Jedes Unternehmen ist zwar anders, doch ein guter Startpunkt für ein solches Team wäre die Repräsentation folgender Faktoren:

  • Sicherheit: Der Chief Security Officer (CSO), der Chief Information Security Officer (CISO) und ihre Teams stellen sicher, dass das Unternehmen stets ausreichend in die erforderlichen Datensicherheits- und Datenschutzressourcen und -richtlinien investiert.
  • Technologie/Zahlungen: Der Chief Technology Officer (CTO), der Zahlungs-VP und ihre Teams stellen sicher, dass die Kern-Tools, Integrationen und Infrastruktur Konformität wahren, während sich die Unternehmenssysteme weiterentwickeln.
  • Finanzen: Der Chief Financial Officer (CFO) und sein Team stellen sicher, dass alle Zahlungsflüsse bezüglich Zahlungssystemen und Partnern nachverfolgbar sind.
  • Rechtsabteilung: Dieses Team kann Ihnen dabei helfen, die zahlreichen rechtlichen Feinheiten der PCI DSS-Konformität zu navigieren.

Um mehr über die komplexe Welt der PCI-Konformität zu erfahren, besuchen Sie die Website des PCI Security Standards Council. Wenn Sie nur diesen Leitfaden und einige weitere PCI-Dokumente lesen möchten, empfehlen wir Ihnen, hier zu beginnen: priorisierter Ansatz für PCI DSS, SAQ Anleitung und Richtlinien, FAQ zur Nutzung von SAQ Anspruchskriterien, um die Standortprüfungsanforderungen zu bestimmen, sowie FAQ zu Verpflichtungen für Händler, die Apps für Verbrauchergeräte zu entwickeln, die Zahlungskartendaten akzeptieren.

Wie Stripe Organisationen beim Erlangen und Erhalten der PCI-Konformität unterstützt

Die PCI-Konformität wird Unternehmen, die über Integrationen in Checkout, Elements, mobile SDKs und Terminal-SDKs verfügen, durch Stripe enorm erleichtert. Stripe Checkout und Stripe Elements nutzen ein gehostetes Zahlungsfeld zum Verarbeiten aller Zahlungskartenangaben, sodass Karteninhaber/innen sensible Informationen direkt in ein Zahlungsfeld eingeben, das direkt aus unseren durch PCI DSS validierten Servern hervorgeht. Darüber hinaus ermöglichen es mobile und Terminal-SDKs von Stripe den Karteninhaber/innen, sensible Zahlungsinformationen direkt an unsere durch PCI DSS validierten Server zu senden.

Mit solch sichereren Methoden zur Kartenannahme füllen wir das PCI-Formular (SAQ) auf dem Stripe-Dashboard aus, sodass die PCI-Validierung nur noch einen Klick entfernt ist. Für kleinere Unternehmen bedeutet das eine Einsparung von Hunderten von Arbeitsstunden, größere Unternehmen können auf diese Weise sogar Tausende Stunden sparen.

Stripe agiert für alle Nutzer/innen, unabhängig von der Integration, als PCI-Vertreter und kann Ihnen auf verschiedene Weise behilflich sein.

  • Wir analysieren Ihre Integrationsmethode und beraten Sie bezüglich der Verwendung des richtigen PCI-Formulars und der Verringerung Ihrer Konformitätsbelastung.
  • Wir benachrichtigen Sie im Voraus, wenn ein wachsendes Transaktionsvolumen eine Änderung bei der Validierung der Konformität erfordert.
  • Für große Händler (Level 1) bieten wir ein PCI-Paket an, das die PCI-Validierungszeit von Monaten auf Tage verkürzen kann. Wenn Sie mit PCI QSA arbeiten müssen (z. B. weil Sie Kreditkarteninformationen speichern oder weil Ihr Zahlungsfluss komplexer ist), gibt es mehr als 350 ähnliche QSA-Unternehmen weltweit, und wir können Sie mit mehreren Prüfer/innen in Verbindung setzen, die die unterschiedlichen Stripe-Integrationsmethoden im Detail kennen.

Fazit

Überprüfung und Validierung der PCI-Konformität findet in der Regel einmal im Jahr statt, doch das heißt nicht, dass PCI-Konformität ein einmaliges Ereignis ist – vielmehr muss sie als wesentliche und kontinuierliche Bewertungs- und Sanierungsleistung betrachtet werden. Mit dem Wachstum eines Unternehmens, entwickeln sich auch die Kerngeschäftslogik und -verfahren weiter und damit die Konformitätsanforderungen. Ein Online-Unternehmen könnte sich beispielsweise entschließen, physische Geschäfte zu eröffnen, neue Märkte zu betreten oder ein Kundensupport-Center einzurichten. Wenn irgendeine Neuerung das Verarbeiten von Zahlungskartendaten erfordert, sollten Sie aktiv überprüfen, ob dies Auswirkungen auf Ihre PCI-Validierungsmethode hat und die PCI-Konformität gegebenenfalls revalidieren.

PCI-Konformität ist ein wichtiger Schritt, reicht aber alleine nicht aus.

Die Einhaltung der PCI DSS-Richtlinien ist ein wichtiger Schutzfaktor für Ihr Unternehmen, reicht aber alleine nicht aus. Der PCI DSS legt wichtige Standards für die Verarbeitung und Speicherung von Karteninhaberdaten fest, bietet jedoch alleine keinen ausreichenden Schutz für jede Zahlungsumgebung. Der Wechsel zu Kartenannahmemethoden, die mehr Sicherheit bieten (wie Stripe Checkouts, Elements oder mobile SDKs) kann Ihr Unternehmen auf effektivere Weise schützen. Der langfristige Vorteil für Sie besteht darin, dass Sie sich nicht auf Grundstandards der Branche verlassen und sich keine Gedanken über mögliche Sicherheitskontrollen machen müssen. Dieser Ansatz bietet beweglichen Unternehmen eine Möglichkeit, potentiellen Datenschutzverletzungen vorzugreifen, ohne dabei den emotionalen, zeit- und kostenaufwändigen herkömmlichen Weg zur PCI-Konformität gehen zu müssen. Ganz zu schweigen davon, dass eine sicherere Integrationsmethode das ganze Jahr über zuverlässig funktioniert.

Visa-Händler-Level
Durchschnittliche Prüfzeit

(jährliche Schätzungen)

Durchschnittliche Prüfzeit mit Stripe Elements, Checkout oder Mobile SDK

(jährliche Schätzungen)

Level 1
3 bis 5 Monate 2 bis 5 Tage
Level 2
1 bis 3 Monate 0 Tage
Level 3
1 bis 3 Monate 0 Tage
Level 4
1 bis 3 Monate 0 Tage

Startklar? Kontaktieren Sie uns oder erstellen Sie ein Konto.

Erstellen Sie ein Konto und beginnen Sie direkt mit dem Akzeptieren von Zahlungen, ohne Verträge abschließen oder Bankdaten angeben zu müssen. Oder wenden Sie sich an uns. Gerne erstellen wir ein individuelles Angebot für Sie, das genau auf Ihr Unternehmen abgestimmt ist.