PCI-Konformität: Ein Leitfaden

Der Payment Card Industry Data Security Standard (PCI DSS) legt Mindeststandards für die Datensicherheit fest. In diesem detaillierten Leitfaden erfahren Sie, wie Sie für deren Einhaltung sorgen und wie Stripe Sie dabei unterstützen kann.

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. So hilft Stripe Unternehmen bei der PCI-Konformität
  3. Anleitung zur PCI-DSS-Konformität
    1. 1. PCI-Stufe ermitteln
    2. 2. Integrationstyp und Nachweispflichten ermitteln
    3. 3. Evaluierung abschließen und Selbsteinschätzungen übermitteln
    4. 4. Laufende Kontrolle
    5. 3. Complete your assessment, and submit your SAQ documentation
    6. 4. Monitor and maintain
  4. So unterstützt Stripe Unternehmen bei der PCI-Konformität
    1. Hilfe für kleinere Unternehmen
    2. Individuelles Dashboard
    3. Unternehmenswachstum
    4. Mehrere Dienstleister
    5. Unterstützung von MOTO-Zahlungen (schriftliche oder telefonische Bestellungen)
  5. Mehr über Stripe erfahren 

Seit 2005 wurden in den USA bei über 9.000 Datenschutzverletzungen mehr als 10 Mrd. Kundendaten kompromittiert. Das ergeben die neuesten Zahlen des Privacy Rights Clearinghouse, das seit 2005 Datenschutz- und Sicherheitsverletzungen meldet, die Verbraucher betreffen. Um die Sicherheit der Kundendaten und das Vertrauen in das Zahlungssystem zu stärken, wurden Mindestanforderungen an die Datensicherheit aufgestellt. Visa, Mastercard, American Express, Discover und JCB haben 2006 den Payment Card Industry Security Standards Council (PCI SSC) gegründet, um die Sicherheitsstandards für Unternehmen zu koordinieren, die Kreditkartendaten verarbeiten.

Der Payment Card Industry Data Security Standard (PCI DSS) ist der internationale Sicherheitsstandard für alle Unternehmen, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Der PCI DSS sieht ein grundlegendes Schutzniveau vor und soll Betrug und Datenschutzverletzungen im gesamten Zahlungssystem verhindern. Er gilt für alle Organisationen, die Zahlungskarten annehmen oder verarbeiten. Bei Verstößen drohen empfindliche Strafen, Bußgelder und Kosten.

Der PCI-DSS bezieht sich auf drei zentrale Bereiche:

  1. Die Handhabung eingehender Kreditkartendaten und insbesondere deren sichere Erfassung und Übertragung
  2. Die sichere Speicherung der Daten, die in den 12 Sicherheitsbereichen der Norm beschrieben wird und die u. a. Verschlüsselung, laufende Kontrollen und Zugriffstests beinhaltet
  3. Eine jährliche Überprüfung der erforderlichen Sicherheitskontrollen, die Formulare, Fragebögen, externe Anfälligkeitstests und Audits durch externe Dienstleister beinhalten kann (siehe die Tabelle mit den vier Anforderungsebenen in der schrittweisen Anleitung weiter unten)

Unternehmen, die Kreditkartenzahlungen akzeptieren, müssen den PCI DSS einhalten – unabhängig von Volumen, Land oder Integrationsmethode. Die Einhaltung der Norm bietet Unternehmen folgende Vorteile:

  • Höheres Kundenvertrauen durch gut geschützte Kartendaten
  • Schutz vor Betrug und Datenschutzverletzungen
  • Vermeidung von Bußgeldern bei Verstößen gegen die PCI-Norm

Rechtlicher Hinweis: Dieser Artikel dient lediglich der Orientierung und ist nicht als endgültige Empfehlung zu verstehen. Wir empfehlen, zur weiteren Klärung einen Payment Card Industry Data Security Standard (PCI DSS) Qualified Security Assessor (QSA) zu konsultieren.

So hilft Stripe Unternehmen bei der PCI-Konformität

Wenn Ihr Geschäftsmodell die Verarbeitung von Kartendaten vorsieht, müssen Sie u. U. die mehr als 300 im PCI DSS vorgesehenen Sicherheitsvorkehrungen treffen. Der PCI Security Standards Council hat bereits mehr als 1.800 Seiten an offizieller Dokumentation zum PCI DSS veröffentlicht. Und allein die Verfahrenshinweise zur Konformitätskontrolle nehmen über 300 Seiten ein.

Stripe kann den PCI-Aufwand für Unternehmen mit diversen tokenisierten Integrationsmethoden (wie Checkout, Elements, mobilen SDKs oder Terminal SDKs) erheblich reduzieren, damit diese selbst keine sensiblen Kreditkartendaten verarbeiten müssen.

  • In Stripe Checkout und Stripe Elements gibt es ein gehostetes Zahlungsfeld für die Verarbeitung von Zahlungskartendaten. So können die Karteninhaber alle sensiblen Zahlungsinformationen in ein Zahlungsfeld eingeben, das direkt von unseren PCI-DSS-konformen Servern stammt.
  • Mit dem mobilen SDK und dem Terminal SDK von Stripe können sensible Zahlungsinformationen zudem direkt an unsere PCI-DSS-validierten Server gesendet werden.

Unabhängig vom Integrationstyp ist Stripe als PCI-Partner für Sie da und kann auf verschiedene Weise helfen.

  • Unser PCI-Assistent analysiert Ihre Integrationsmethode und gibt Ihnen Tipps, wie Sie die Compliance vereinfachen können.
  • Wir benachrichtigen Sie im Voraus, wenn ein wachsendes Transaktionsvolumen eine Änderung Ihrer Konformitätsprüfungen erforderlich macht.
  • Für Konzerne und Unternehmen, die der Qualitätskontrollpflicht unterliegen, weil sie Kreditkartendaten speichern oder einen besonders komplexen Zahlungsablauf nutzen, gibt es weltweit über 400 QSA-Anbieter. Wir können für Sie Kontakt zu Qualitätsprüfern herstellen, die sich mit den Integrationsmethoden von Stripe bestens auskennen.

Anleitung zur PCI-DSS-Konformität

1. PCI-Stufe ermitteln

Der erste Schritt auf dem Weg zur PCI-Konformität besteht darin, die Anforderungen an Ihr Unternehmen zu ermitteln. Es gibt vier verschiedene PCI-Stufen. In der Regel hängt die Einstufung Ihres Unternehmens davon ab, wie viele Kreditkartentransaktionen innerhalb von 12 Monaten abgewickelt werden.

Je nach dem gelten unterschiedliche Anforderungen etwa mit Blick auf die regelmäßigen Schwachstellenscans durch einen anerkannten Anbieter (Approved Scanning Vendor, ASV). Darüber hinaus gelten zusätzliche Anforderungen für Dienstleister, die direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) im Auftrag Dritter beteiligt sind (z. B. Zahlungsgateways, Zahlungsdienstleister und unabhängige Vertriebsorganisationen).

Konformitätsstufe
Trifft zu auf
Anforderungen
Level 1
  • Organisationen, die jährlich über 6 Mio. Transaktionen per Visa oder Mastercard bzw. über 2,5 Mio. Transaktionen per American Express abwickeln
  • bereits Datenschutzverletzungen erlebt haben
  • von einer Kreditkartenvereinigung (wie Visa oder Mastercard) Level 1 zugeordnet werden
  • Attestation of Compliance (Konformitätsbescheinigung, AOC) oder Report on Compliance (Konformitätsbericht, ROC) durch einen Qualified Security Assessor (qualifizierten Sicherheitsprüfer QSA)
  • Vierteljährlicher Netzwerk-Scan durch anerkannten Anbieter (Approved Scan Vendor, ASV)
Level 2
  • Organisationen mit 1 bis 6 Mio. Online-Transaktionen jährlich
  • Self-Assessment Questionnaire (Selbstauskunft, SAQ), Attestation of Compliance (Konformitätsbescheinigung, AOC) oder Report on Compliance (Konformitätsbericht, ROC)
  • Die Dokumentationen SAQ A, SAQ A-EP und SAQ D sind von einem qualifizierten PCI-Sicherheitsprüfer (PCI Qualified Security Assessor (QSA)) zu unterzeichnen, sofern Sie keinen eigenen PCI-Beauftragten (PCI-Certified Internal Security Assessor ISA haben1.
  • Vierteljährlicher Netzwerk-Scan durch anerkannten Anbieter (Approved Scan Vendor, ASV)
Level 3
  • Organisationen mit 20.000 bis 1 Mio. Online-Transaktionen jährlich
  • Organisationen mit weniger als 1 Mio. Transaktionen jährlich
  • Level 3 und 4 beinhalten die automatische Aufnahme in unser vereinfachtes Risikomanagementprogramm, das zahlreiche Faktoren wie die Integrationsart berücksichtigt und ggf. die Erstellung von SAQ Selbstauskünften gemäß PCI DSS erfordert.
  • Auf Level 3 ist ein vierteljährlicher Netzwerk-Scan durch einen anerkannten Anbieter (Approved Scan Vendor, ASV) vorgeschrieben.
Level 4
  • Organisationen mit weniger als 20.000 Online-Transaktionen jährlich
  • Organisationen mit bis zu 1 Mio. Transaktionen jährlich
  • Auf Level 4 ist ein vierteljährlicher Netzwerk-Scan durch einen anerkannten Anbieter (Approved Scan Vendor, ASV) vorgeschrieben.
1 "Level 2"-Händler sind bei SAQ A, SAQ A-EP und SAQ D zur Beauftragung eines QSA zur Konformitätsvalidierung verpflichtet.

2. Integrationstyp und Nachweispflichten ermitteln

Wenn Sie Ihre PCI-Stufe ermittelt haben, müssen Sie bestimmen, welche Konformitätsnachweise Sie benötigen. Diese richten sich nach Ihrem Stripe-Integrationstyp, Ihrer Eigenschaft als Dienstleister und weiteren Faktoren.

Stufe 1

Unternehmen der Stufe 1 dürfen keine Selbsteinschätzung (SAQ) als Nachweis der PCI-Konformität verwenden. Sie benötigen einmal jährlich ein von einem QSA unterzeichnetes ROC-Formular als Konformitätsnachweis.

Stufe 2 bis 4

Für Unternehmen auf den Stufen 2 bis 4 gibt es unterschiedliche SAQ-Varianten, die sich nach der Zahlungsintegrationsmethode richten. Wenn Sie nicht sicher sind, welche Selbsteinschätzung für Sie geeignet ist, ermittelt der PCI-Assistent von Stripe automatisch, welchen Nachweis Sie benötigen.

Integration
Anforderung
Empfehlung
Checkout oder Elements
SAQ A
Bei Checkout sowie Stripe.js und Elements werden alle eingegebenen Kartendaten in einem iFrame von der Stripe-Domain gehostet. In diesem Fall gelangen also keine Kundendaten auf Ihre Server.
Connect
SAQ A Falls Sie Kartendaten ausschließlich über eine Connect-Plattform (wie Squarespace) erfassen, ermitteln wir, ob diese über die vorgeschriebene PCI-Dokumentation verfügt.
Mobile SDK
SAQ A

Das Mobile SDK von Stripe wird in Einklang mit den PCI-DSS-Anforderungen 6.3–6.5 entwickelt und geändert und über unsere PCI-konformen Systeme bereitgestellt. Wenn Sie ausschließlich UI-Komponenten aus unseren offiziellen SDKs für iOS oder Android verwenden oder ein Bezahlformular mit Elements in einer WebView erstellen, werden die Kartennummern direkt an Stripe weitergeleitet und viele PCI-Nachweispflichten entfallen.

Bei anderen Verfahren wie einer intern programmierten Verarbeitung von Kartendaten sind ggf. weitere PCI-DSS-Anforderungen (6.3–6.5) zu erfüllen und SAQ A ist nicht ausreichend. Wie Sie die Einhaltung der aktuellen Vorgaben des PCI Security Standards Council am besten nachweisen, erfahren Sie bei einem PCI QSA.

Wenn Ihre Anwendung die Dateneingabe auf Kundengeräten erfordert, ist SAQ A ausreichend. Falls mit Ihrer Anwendung (z. B. einer POS-App) Kartendaten verschiedener Personen verarbeitet werden, wenden Sie sich bitte an einen PCI Qualified Security Assessor (QSA), um sich über Möglichkeiten zum Nachweis der PCI-Konformität zu informieren.

Stripe.js v2
SAQ A-EP

Werden Kartendaten aus Formularen weitergegeben, die Sie auf Ihrer eigenen Seite hosten, müssen Sie zum Nachweis der PCI-Konformität einmal jährlich SAQ A-EP ausfüllen.

Alternativ bieten sowohl Checkout als auch Elements die Flexibilität und Anpassungsfähigkeit selbst gehosteter Formulare und erfüllen gleichzeitig die PCI-Kriterien von SAQ A.

Terminal
SAQ C

Falls Kartendaten ausschließlich über Stripe Terminal erfasst werden, ist eine Validierung mit SAQ C zulässig.

Wenn Sie für Ihre Stripe-Integration eines der aufgeführten Verfahren verwenden, sind Sie wie angegeben zum Nachweis der Konformität verpflichtet.
Dashboard
SAQ C-VT

Manuelle Kartenzahlungen über das Dashboard sind nur in Ausnahmefällen möglich und sollten nicht zur routinemäßigen Zahlungsabwicklung verwendet werden. Bieten Sie daher ein geeignetes Zahlungsformular oder eine mobile Anwendung für die Eingabe von Kartendaten an.

Für die Sicherheit manuell eingegebener Kartendaten außerhalb von Stripe können wir nicht garantieren. Schützen Sie diese daher gemäß PCI-Anforderungen und füllen Sie zum Nachweis der PCI-Konformität einmal jährlich SAQ C-VT aus.

Direct API
SAQ D

Wenn Sie Kartendaten direkt an die Stripe-API weitergeben, werden diese Daten von Ihrer Integration direkt verarbeitet und Sie sind zum Nachweis der PCI-Konformität mit der besonders strengen SAQ D verpflichtet. So können Sie es sich einfacher machen:

Darüber hinaus ist unser Antibetrugstool Radar mitsamt Risikobewertung und Regeln nur bei Verfahren zur clientseitigen Tokenisierung verfügbar.

Dienstleister

Wenn Sie direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) für Dritte beteiligt sind (wie Zahlungs-Gateways, Zahlungsdienstleister, unabhängige Vertriebsorganisationen usw.), werden Sie möglicherweise als Dienstleister eingestuft. Das bedeutet, dass Sie zusätzliche Anforderungen erfüllen müssen.

3. Evaluierung abschließen und Selbsteinschätzungen übermitteln

Sobald Sie ermittelt haben, welche Evaluierung Sie benötigen, führen Sie diese durch, füllen Sie die relevanten SAQ- bzw. ROC-Unterlagen aus und übermitteln Sie diese zur Überprüfung an Stripe.

Bei hohem Volumen sollten Sie einen in Ihrem Land zugelassenen QSA hinzuziehen. Dieser hilft Ihnen dabei, Ihre Systeme anhand der PCI-Anforderungen zu überprüfen und unterstützt Sie bei der Behebung etwaiger Mängel. Außerdem erstellt und unterzeichnet er die entsprechende Dokumentation, die Sie dann einmal pro Jahr an Stripe weiterleiten.

Unternehmen der Stufen 3 und 4 müssen meist die branchenspezifische Selbsteinschätzung zum PCI DSS ausfüllen. Weitere hilfreiche Händlermaterialien finden Sie beim PCI Security Standards Council. Stripe unterstützt Sie ebenfalls: Ihr persönlicher Assistent im PCI-Dashboard stellt Ihnen einige Fragen und erstellt dann die erforderliche Dokumentation für Sie. Ihre ausgefüllten Selbsteinschätzungen und ROC-Nachweise können Sie im PCI-Dashboard von Stripe hochladen.

4. Laufende Kontrolle

Beachten Sie, dass der Nachweis der PCI-Konformität keine einmalige Angelegenheit ist. Er muss jedes Jahr erneuert werden, damit Ihr Unternehmen auch dann die Compliance-Anforderungen erfüllt, wenn sich Datenbewegungen und die Kundeninteraktion verändern.

Der PCI DSS enthält zwar Anforderungen zur Verarbeitung und Speicherung von Karteninhaberdaten, bietet für sich genommen aber nicht in allen Zahlungsumgebungen ausreichenden Schutz. Daher ist die Umstellung auf eine sicherere Methode zur Kartenannahme mit tokenisierten Daten (wie Stripe Checkout, Elements oder mobile SDKs) ein viel effektiverer Weg, Ihr Unternehmen zu schützen. Dieser Ansatz bietet agilen Unternehmen eine Möglichkeit, Datenschutzverletzungen zu verhindern und das herkömmliche zeit- und kostenintensive Verfahren der PCI-Validierung zu umgehen.

Wenn Unternehmen wachsen, verändern sich auch Geschäftslogik und -prozesse. Daraus ergeben sich dann andere Compliance-Anforderungen. Dies ist z. B. dann der Fall, wenn ein Onlineunternehmen beschließt, ins Filialgeschäft einzusteigen, in neue Märkte vorzudringen oder ein Kundensupportcenter zu eröffnen. Wenn dabei Zahlungskartendaten involviert sind, sollten Sie proaktiv prüfen, ob dies Auswirkungen auf Ihre PCI-Validierung hat und die PCI-Konformität bei Bedarf erneut validieren.

Weitere Informationen zum Thema PCI-Konformität finden Sie auf der Website des PCI Security Standards Council. Wenn Sie bisher nur diesen Leitfaden und einige andere PCI-Dokumente gelesen haben, empfehlen wir Ihnen folgende Quellen:

Service provider category

Criteria

PCI requirements

Level 1

All Third-Party Processors (TPPs)

All Data Storage Entities (DSEs) with more than 300,000 total combined Mastercard and Maestro transactions annually

Annual Onsite Assessment conducted by a QSA
Quarterly Network Scan conducted by an ASV

Level 2

All DSEs with 300,000 or less total combined Mastercard and Maestro transactions annually

Annual Self-Assessment
Quarterly Network Scan conducted by an ASV

3. Complete your assessment, and submit your SAQ documentation

Once you have identified which assessment you need to complete, the next step is to perform the assessment, complete the relevant SAQ or ROC documentation, and submit it to Stripe for review.

High-volume users will want to secure the services of a QSA who is registered to operate in regions where you are operating. The QSA will help review your systems against the PCI requirements and advise on remediation for any deficiencies. They will also produce and sign the appropriate documentation for you to then share with Stripe annually.

Level 3 and 4 users will likely need to complete the PCI DSS Self-Assessment Questionnaire that is appropriate for their line of business. More merchant resources are available for you through the PCI Security Standards Council. Stripe is also here to assist, as our customized wizard on your PCI Dashboard will ask a series of questions and generate required documentation for you. You can use the Stripe PCI Dashboard to upload any self-completed SAQ or ROC documentation.

4. Monitor and maintain

It’s important to note that PCI compliance is not a one-time event. It’s an annual process to ensure your business remains compliant even as data flows and customer touchpoints evolve.

PCI DSS sets important standards for handling and storing cardholder data, but it does not provide sufficient protection for every payment environment on its own. Instead, moving to a safer card acceptance method that uses tokenized data (such as Stripe Checkout, Elements, and mobile SDKs) is a much more effective way to protect your organization. This approach provides agile businesses a way to mitigate a potential data breach and avoid the time-consuming and costly historical approach to PCI validation.

As a company grows, so will the core business logic and processes, which means compliance requirements will evolve as well. An online business, for example, might decide to open physical stores, enter new markets, or launch a customer support center. If anything new involves payment card data, it’s a good idea to proactively check whether this has any impact on the chosen PCI validation method, and revalidate PCI compliance as necessary.

For more information about the complex world of PCI compliance, head to the PCI Security Standards Council website. If you only read this guide and a few other PCI docs, we recommend starting with these:

So unterstützt Stripe Unternehmen bei der PCI-Konformität

Stripe ist ein Dienstleister der PCI-Stufe 1 und wird einmal jährlich von einem unabhängigen qualifizierten Sicherheitsgutachter (QSA) anhand der Anforderungen des PCI DSS zertifiziert. Das bedeutet, dass unsere Produkte von Haus aus sicher sind, was Ihren Compliance-Aufwand reduziert.

Unabhängig vom Integrationstyp ist Stripe als PCI-Partner für Sie da und kann auf verschiedene Weise helfen.

Hilfe für kleinere Unternehmen

Stripe vereinfacht den PCI-Aufwand für kleinere Unternehmen mit einem individuellen Konformitätsprozess mit vorausgefüllten SAQ, geführten Abläufen und sichereren Integrationsverfahren wie Checkout, Elements, mobilen SDKs und Terminal SDKs.

Individuelles Dashboard

Wenn Sie Stripe nutzen, analysieren wir Ihren Transaktionsverlauf und beraten Sie, wie Sie Ihren Compliance-Aufwand mit einem eigenen Dashboard reduzieren können.

Unternehmenswachstum

Wenn Ihr jährliches Transaktionsvolumen steigt, kann sich Ihre PCI-Stufe ändern. Stripe unterstützt Sie dabei und macht Sie auf geänderte Anforderungen aufmerksam, sobald Ihre PCI-Verlängerungsfrist näher rückt.

Mehrere Dienstleister

Wenn Ihr Unternehmen mehr als einen Abwickler verwendet, kann das die PCI-Konformität erschweren. Stripe entlastet Sie mit der Einreichung von Dienstleister-AOCs und erleichtert Ihnen so den Konformitätsnachweis.

Unterstützung von MOTO-Zahlungen (schriftliche oder telefonische Bestellungen)

Stripe unterstützt Unternehmen, die MOTO-Zahlungen akzeptieren, durch die Integration mit Diensten von Drittanbietern für eine sichere telefonbasierte Kartenerfassung. Diese Dienste automatisieren die Erfassung von Kartenangaben mithilfe von Technologien wie Tonwahl, Übermittlung von Kartennummern oder Spracherkennung und machen es überflüssig, dass eine Person Kartendaten manuell transkribieren muss. Dieser Ansatz kann den Aufwand für die Einhaltung der PCI-Vorschriften erheblich reduzieren, da kein „Mensch in der Schleife“ erforderlich ist. Für MOTO-Anwendungsfälle gibt es drei wahrscheinliche SAQ-Ergebnisse:

  • SAQ-A: Anwendungsszenario für Pay Connector, bei dem Karteninhaberdaten telefonisch mit einer PCI-konformen Drittanbieterlösung erfasst werden und Kartenangaben direkt an Stripe übermittelt werden. In diesem Anwendungsszenario sollten Nutzer/innen keinen Zugriff auf die Kartenangaben haben, während diese per Telefon präsentiert werden, und keine Karteninhaberdaten in ihrer Umgebung speichern, verarbeiten oder übertragen.
  • SAQ C-VT: Nutzer/innen erhalten Kartendaten über MOTO-Zahlungen, die direkt in das Stripe-Dashboard eingegeben werden. In dieser Situation sollte die manuelle Übermittlung nur für begrenzte, nicht wiederkehrende Anwendungsfälle und in dem Wissen erfolgen, dass die elektronische Speicherung von Karteninformationen nicht zulässig ist.
  • SAQ-D: Jeder Use case, bei dem Nutzer/innen Karteninhaberdaten von ihrer Kundschaft erfassen und diese in ihrer Umgebung elektronisch speichern.

Für spezifische Anleitungen zur PCI-Konformität und Ihrer MOTO-Implementierung empfehlen wir Ihnen, sich an einen PCI Qualified Security Assessor (QSA) zu wenden.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.