Leitfaden für PCI-Konformität

Payment Card Industry Data Security Standards (PCI DSS) legt den Mindeststandard für die Datensicherheit fest. Im Folgenden finden Sie eine Schritt-für-Schritt-Anleitung zur Einhaltung der Compliance und wie Stripe Ihnen dabei helfen kann.

Einführung

Seit 2005 wurden über 11 Milliarden Kundenunterlagen durch insgesamt mehr als 8.500 Datenschutzverletzungen gefährdet. Dies sind die aktuellsten Zahlen des Privacy Rights Clearinghouse, das seit 2005 über Datenschutz- und Sicherheitsverletzungen berichtet, von denen Verbraucher betroffen sind.

Um die Sicherheit von Verbraucherdaten und das Vertrauen ins Zahlungssystem zu verbessern, wurde ein Mindeststandard für Datensicherheit geschaffen. Visa, Mastercard, American Express, Discover und JCB haben sich zusammengetan und daraus ist 2006 das Payment Card Industry Security Standards Council (PCI SSC) hervorgegangen; seine Aufgabe besteht darin, Sicherheitsstandards für Unternehmen, die Kreditkarteninformationen verarbeiten, zu verwalten und umzusetzen. Vor der Gründung des PCI SSC hatten alle fünf genannten Kreditkartenunternehmen ihre eigenen Sicherheitsstandardprogramme, deren Anforderungen und Ziele in etwa übereinstimmten. Sie schlossen sich über das PCI SSC zusammen, um sich an einer einzigen Standardrichtlinie, den PCI Data Security Standards (PCI DSS), zu orientieren in der Absicht, einen Grundschutz für Verbraucher und Banken im Internet-Zeitalter zu gewährleisten.

Komplexe PCI DSS-Anforderungen verstehen

Wenn Ihr Geschäftsmodell die Verarbeitung von Kartendaten erfordert, müssen Sie möglicherweise alle 300+ Sicherheitskontrollen des PCI DSS erfüllen. Der PCI-Beirat hat mehr als 1.800 Seiten offizieller Unterlagen zum PCI DSS veröffentlicht und allein 300 Seiten, die nur beschreiben, welche Formulare zur Konformitätsvalidierung erforderlich sind. Allein das zu lesen würde über drei Tage in Anspruch nehmen.

Um Unternehmen das Leben zu erleichtern, haben wir einen detaillierten Leitfaden zum Thema Konformitätsvalidierung und -wahrung erstellt.

PCI Data Security Standard (PCI DSS) – Übersicht

PCI DSS ist der globale Sicherheitsstandard für alle Organisationen, die Karteninhaberinformationen und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. PCI DSS legt einen Grundverbraucherschutz fest und hilft dabei, Datenschutzverletzungen und Betrugsfälle innerhalb des gesamten Zahlungssystems zu reduzieren. PCI DSS gilt für alle Organisationen, die Zahlungskarten akzeptieren und verarbeiten.

PCI DSS-Konformität umfasst drei Hauptpunkte:

  1. Den Umgang mit eingehenden Kreditkarteninformationen von Kunden, das heißt sicheres Sammeln und Übertragen von sensiblen Kartendaten
  2. Sicheres Speichern von Daten, das in den 12 Sicherheitsdomänen des PCI-Standards erläutert ist, wie Verschlüsselung, laufende Überwachung und Sicherheitstests für den Zugriff auf Kartendaten
  3. Jährliche Überprüfung der Einhaltung dieser erforderlichen Sicherheitskontrollen, inklusive u.a. Formularen, Fragebögen, externes Sicherheitslücken-Scanning und Überprüfungen durch Drittparteien (eine Übersicht der vier Anforderungsstufen finden Sie im detaillierten Leitfaden

Umgang mit Karteninformationen

Manche Geschäftsmodelle erfordern den direkten Umgang mit sensiblen Kreditkartendaten bei der Annahme von Zahlungen, andere nicht. Unternehmen, die mit diesen Daten arbeiten (z.B. bei der Annahme nicht-tokenisierter PANs auf einer Zahlungsseite) müssen gegebenenfalls die mehr als 300 Sicherheitskontrollen des PCI DSS erfüllen. Selbst wenn die Kartendaten nur für einen kurzen Moment seine Server durchläuft, muss das Unternehmen Sicherheitssoftware und -hardware kaufen, einsetzen und warten.

Wenn es für ein Unternehmen nicht erforderlich ist, mit sensiblen Kartendaten zu arbeiten, dann sollte es das auch nicht tun. Drittanbieter (wie Stripe Elements) akzeptieren und speichern die Daten auf sichere Weise, sodass unnötige Risiken, Kosten und Komplexität entfallen. Da sein Server niemals mit Kartendaten in Berührung kommt, muss das Unternehmen lediglich 22 Sicherheitskontrollen durchlaufen, die in der Regel relativ unkompliziert sind (z.B. das Verwenden starker Passwörter).

Sicheres Speichern von Daten

Ein Unternehmen, das Kreditkartendaten handhabt oder sie speichert, muss den Umfang seiner Karteninhaberdatenumgebung (CDE) definieren. PCI DSS fasst unter CDE alle Personen, Verfahren und Technologien zusammen, die Kreditkartendaten speichern, verarbeiten oder übertragen - oder jegliche damit verbundenen Systeme. Da CDE allen 300+ Sicherheitsanforderungen des PCI DSS unterliegt, ist es wichtig, die Zahlungsumgebung strikt vom Rest des Unternehmens abzugrenzen, umm den Umfang der PCI-Validierung zu verringern. Wenn ein Unternehmen den CDE-Bereich nicht abgrenzen kann, dann dann müsste jedes einzelne System, jeder Laptop und jedes noch so kleine Gerät des Unternehmensnetzwerks alle PCI-Sicherheitskontrollen durchlaufen und das wäre ein regelrechter Albtraum!

Jährliche Validierung

Unabhängig von der Art, wie Kartendatenangenommen werden, müssen Unternehmen jedes Jahr ein PCI-Validierungsformular ausfüllen. Die Validierung der PCI-Konformität hängt von unterschiedlichen Faktoren ab, die weiter unten erläutert sind. In folgenden drei Szenarien könnte ein Unternehmen aufgefordert werden, seine PCI-Konformität nachzuweisen:

  • Zahlungsabwickler könnten es als Teil ihrer Berichte anfordern, die sie an die Zahlungskartenmarken liefern müssencustomers
  • Geschäftspartner könnten es als Bedingung anfordern, einen Geschäftsvertrag einzugehen
  • Bei Plattform-Unternehmen (solche, deren Technologie Online-Transaktionen zwischen mehreren unterschiedlichen Nutzergruppen ermöglicht) könnten Kunden diesen Nachweis anfordern, um wiederum ihren Kunden zu zeigen, dass sie sicher mit Daten umgehen

Die aktuellsten Sicherheitsstandards, [PCI DSS Version 3.2.1] (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf) enthalten 12 Hauptanforderungen mit über 300 Unteranforderungen, die die Best Practices in Sachen Sicherheit widerspiegeln.

    Entwicklen Sie sichere Netzwerke und Systeme und warten Sie diese regelmäßig

  1. Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen
  2. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter
  3. Schützen Sie Karteninhaberdaten

  4. Schützen Sie gespeicherte Karteninhaberdaten
  5. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene oder öffentliche Netzwerke
  6. Implementieren Sie ein Sicherheitslücken-Managementprogramm

  7. Schützen Sie alle Systeme vor Malware und aktualisieren Sie Ihre Antivirus-Software regelmäßig
  8. Entwickeln Sie sichere Systeme und Anwendungen und warten Sie sie regelmäßig
  9. Ergreifen Sie strikte Zugriffskontrollmaßnahmen

  10. Beschränken Sie Zugriff auf Karteninhaberdaten nach dem „Need to Know“-Prinzip
  11. Identifizieren und authentifizieren Sie Zugang zu Systemkomponenten
  12. Beschränken Sie physischen Zugang zu Karteninhaberdaten
  13. Kontrollieren und testen Sie Netzwerke regelmäßig

  14. Verfolgen und kontrollieren Sie den Zugriff auf Netzwerkressourcen und Karteninhaberdaten
  15. Testen Sie Sicherheitssysteme und -abläufe regelmäßig
  16. Befolgen Sie strikte Informationssicherheitsrichtlinien

  17. Implementieren Sie Richtlinien, die Dateninformationssicherheit aller Mitarbeiter behandeln

Um Unternehmen die PCI-Konformität zu erleichtern, hat der PCI-Beirat neun verschiedene Selbstbewertungsfragebögen (SAQ) erstellt, die eine Untergruppe der PCI DSS-Gesamtanforderungen darstellen. Sie müssen nur herausfinden, welcher der richtige Fragebogen ist und ob es notwendig ist, einen vom PCI-Beirat genehmigten Prüfer anzuheuern, der bestätigt, dass alle PCI DSS-Sicherheitsanforderungen erfüllt wurden. Darüber hinaus überarbeitet der PCI-Beirat die Regeln alle drei Jahre und veröffentlicht über das Jahr hinzukommende Änderungen und Aktualisierungen, wodurch die Komplexität noch verschärft wird.

Detaillierter Leitfaden zur PCI DSS-Konformität v3.2.1

1. Machen Sie sich mit Ihren Anforderungen vertraut

Für die korrekte Erreichung der PCI-Konformität müssen Sie zunächst einmal die entsprechenden Anforderungen für Ihr Unternehmen kennen. Es gibt vier verschiedene PCI-Compliance-Level; in der Regel hängt die Einstufung Ihres Unternehmens davon ab, wie viele Kreditkartentransaktionen es über einen Zeitraum von 12 Monaten abwickelt.

Trifft zu auf Anforderungen
Level 1
  1. Organisationen, die jährlich mehr als 6 Millionen Transaktionen abwickeln; oder
  2. Eine Datenschutzverletzung erfahren haben; oder
  3. Werden von allen Kartenverbänden (Visa, Mastercard usw.) als Level 1 eingestuft
  1. Jährlicher Konformitätsbericht (ROC) durch einen qualifizierten Sicherheitsprüfer (Qualified Security Assessor) (QSA) - auch bekannt als Level 1- Standortprüfung oder interne Prüfung, wenn einer der Unternehmensleiter unterschreibt
  2. Vierteljährlicher Netzwerk-Scan durch anerkannten Scan-Anbieter (Approved Scan Vendor) ASV
  3. Konformitätsbescheinigung (AOC) für Standortprüfungen - es gibt bestimmte Formulare für Händler und Service-Anbieter
Level 2 Organisationen, die jährlich zwischen 1 und 6 Millionen Transaktionen abwickeln.
  1. Jährlicher PCI DSS Selbstbewertungsfragebogen (Self-Assessment Questionnaire) SAQ - in der Tabelle unten werden die 9 bestehenden SAQ-Typen kurz beschrieben
  2. Vierteljährlicher Netzwerk-Scan durch anerkannten Scan-Anbieter (Approved Scan Vendor) (ASV)
  3. Konformitätsbescheinigung ( AOC ) - es gibt ein entsprechendes Formular für jeden der 9 Selbtbewertungsfragebögen
Level 3
  1. Organisationen, die jährlich insgesamt zwischen 20.000 und einer Million Transaktionen abwickeln
  2. Organisationen, die jährlich insgesamt weniger als eine Million Transaktionen abwickeln
Level 4
  1. Organisationen, die jährlich insgesamt weniger als 20.000 Transaktionen abwickeln; oder
  2. Organisationen, die jährlich insgesamt bis zu einer Million Transaktionen abwickeln

Für Level 2 bis 4 existieren unterschiedliche SAQ-Typen, abhängig von Ihrer Zahlungsintegrationsmethode. Hier erhalten Sie eine kurze Übersicht:

SAQ (Selbstbewertungsfragebogen) Beschreibung
A

„Card-not-present“-Händler (wie bei E-Commerce oder E-Mail- bzw. Telefonbestellungen), die alle Karteninhaberdatenfunktionen an vom PCI DSS genehmigte Drittanbieter ausgelagert haben, ohne elektronische Speicherung, Verarbeitung oder Übertragung jedweder Karteninhaberinformationen in den System oder Räumlichkeiten des Händlers.

Trifft nicht auf Face-to-Face-Channels zu.

A-EP

E-Commerce-Händler, die alle Zahlungsabwicklungen an von PCI DSS validierte Drittparteien auslagern und deren Website(s) Karteninhaberinformationen nicht direkt erhalten, die aber die Sicherheit der Transaktion gefährden könnten. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten in den Systemen oder Räumlichkeiten des Händlers.

Trifft nur auf E-Commerce-Kanäle zu.

B

Händler, die nur Folgendes nutzen:

  • Imprint-Geräte ohne elektronsiche Speicherung von Karteninhaberinformationen und/oder
  • Eigenständige Dial-out-Terminals ohne elektronischen Karteninhaberdatenspeicher.

Trifft nicht auf E-Commerce-Kanäle zu.

B-IP

Händler, die nur eigenständige, PTS-anerkannte Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler ohne elektronischen Karteninhaberdatenspeicher nutzen.

Trifft nicht auf E-Commerce-Kanäle zu.

C-VT

Händler, die manuell jeweils nur eine einzelne Transaktion über eine Tastatur in eine internetbasierte, virtuelle Zahlungsterminallösung eingeben, die von einem durch PCI DSS validierten Drittanbieter angeboten und gehostet wird. Keine elektronische Speicherung von Karteninhaberinformationen.

Trifft nicht auf E-Commerce-Kanäle zu.

C

Händler, deren Zahlungsanwendungssysteme mit dem Internet verbunden sind, ohne elektronischen Karteninhaberdatenspeicher.

Trifft nicht auf E-Commerce-Kanäle zu.

P2PE

Händler, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, von PCI SSC aufgelisteten Point-to-Point-Encryption-Lösung (P2PE) enthalten sind und über diese verwaltet werden, ohne elektronischen Karteninhaberdatenspeicher.

Trifft nicht auf E-Commerce-Händler zu

D

SAQ D für Händler: Alle Händler, die nicht in den Beschreibungen für die oben genannten Selbstbeurteilungsfragebogen-Typen enthalten sind.

SAQ D für Service-Anbieter: Alle Service-Anbieter, die von einer Zahlungsmarke als berechtig definiert wurden, einen Selbstbeurteilungsfragebogen auszufüllen.

Das Ablaufdiagramm auf Seite 18 dieses PCI-Dokuments kann Ihnen dabei helfen, die SAQ- und Attestierungsdokumente auszuwählen, die am besten für Ihre Organisation geeignet sind.

Die PCI DSS-Anforderungen ändern sich ständig. Um über neue oder sich ändernde Zertifizierungsanforderungen auf dem Laufenden zu bleiben und sie zu erfüllen, ist es empfehlenswert, eine PCI-Teilnehmerorganisation (PO) zu werden.

2. Visualisieren Sie Ihre Datenflüsse

Bevor Sie sensible Kreditkarteninformationen schützen können, müssen Sie erst wissen, wo diese Daten sind und wie sie dort hin gelangen. Sie müssen eine umfassende Übersicht der Systeme, Netzwerkverbindungen und Anwendungen erstellen, die mit den Kreditkartendaten innerhalb Ihres Unternehmens interagieren. Je nach Ihrer Position, werden Sie dazu vermutlich mit den IT- und Sicherheitsteams zusammenarbeiten müssen.

  • Identifizieren Sie zunächst jeden verbraucherorientierten Bereich Ihres Unternehmens, der an Zahlungstransaktionen beteiligt ist, zum Beispiel wenn Sie Zahlungen über einen Online-Einkaufswagen, In-Store-Zahlungsterminals oder Telefonbestellungen annehmen.
  • Der nächste Schritt besteht darin, genau festzustellen, wie Karteninhaberinformationen innerhalb Ihres Unternehmens gehandhabt werden. Es ist wichtig, genau zu wissen, wo die Daten gespeichert werden und wer darauf Zugriff hat.
  • Identifizieren Sie dann die internen Systeme oder zugrundeliegenden Technologien, von denen Zahlungstransaktionen betroffen sind. Dazu zählen Ihre Netzwerksysteme, Datencenter und Cloud-Umgebungen.

3. Überprüfen Sie Ihre Sicherheitskontrollen und -protokolle

Sobald Sie eine Übersicht aller potentiellen Touchpoints für Kreditkartendaten innerhalb Ihres Unternehmens erstellt haben, arbeiten Sie mit Ihren IT- und Sicherheitsteams zusammen, um sicherzustellen, dass die richtigen Sicherheitskonfigurationen und -protokolle vorhanden sind (weiter oben finden Sie eine Liste von 12 Sicherheitsanforderungen für PCI DSS. Diese Protokolle dienen dazu, die Datenübertragung zu sichern (z.B. Transport Layer Security - TLS).

Die 12 Sicherheitsanforderungen für PCI DSS v3.2.1 basieren auf bewährten Verfahren zum Schutz sensibler Daten für alle Unternehmen. Einige überschneiden sich mit den Anforderungen der Datenschutzmandate für GDPR, HIPAA und andere, sodass manche davon in Ihrem Unternehmen bereits in Kraft sind.

4. Kontrolle und Wartung

Es ist wichtig, sich klarzumachen, dass PCI-Konformität kein einmaliges Ereignis ist, sondern vielmehr ein kontinuierlicher Prozess, der Konformität auch dann wahrt, wenn Datenflüsse und Kunden-Touchpoints sich weiterentwickeln. Bei einigen Kreditkartenmarken müssen Sie möglicherweise vierteljährliche oder jährliche Berichte einreichen oder eine jährliche Standortprüfung durchführen, um laufende Konformität zu validieren, insbesondere, wenn Sie mehr als 6 Millionen Transaktionen pro Jahr abwickeln.

Die Verwaltung der jährlichen PCI-Konformität (sowie im Jahresvergleich) erfordert häufig Zusammenarbeit und Unterstützung innerhalb der verschiedenen Abteilungen. Es wäre nicht verkehrt, ein spezielles Team zusammenzustellen, das sich intern um die Konformität kümmert. Jedes Unternehmen ist zwar anders, doch ein guter Startpunkt für ein solches Team wäre die Repräsentation folgender Faktoren:

  • Sicherheit: Der Chief Security Officer (CSO), der Chief Information Security Officer (CISO) und ihre Teams stellen sicher, dass das Unternehmen stets ausreichend in die erforderlichen Datensicherheits- und Datenschutzressourcen und -richtlinien investiert.
  • Technologie / Zahlungen: Der Chief Technology Officer (CTO), der Zahlungs-VP und ihre Teams stellen sicher, dass die Kern-Tools, Integrationen und Infrastruktur Konformität wahren während sich die Unternehmenssysteme weiterentwickeln.
  • Finanzen: Der Chief Financial Officer (CFO) und sein Team stellen sicher, dass alle Zahlungsflüsse bezüglich Zahlungssystemen und Partnern nachverfolgbar sind.
  • Rechtsabteilung: Dieses Team kann Ihnen dabei helfen, die zahlreichen Feinheiten der PCI DSS-Konformität zu navigieren.

Um mehr über die komplexe Welt der PCI-Konformität zu erfahren, besuchen Sie die Website des PCI Sicherheitsstandardbeirats. Wenn Sie nur diesen Leitfaden und einige weitere PCI-Dokumente lesen möchten, empfehlen wir Ihnen, hier zu beginnen: priorisierter Ansatz für PCI DSS, SAQ Anleitung und Richtlinien, FAQ zur Nutzung von SAQ Anspruchskriterien, um die Standortprüfungsanforderungen zu bestimmen, sowie FAQ zu [Verpflichtungen für Händler, die Apps] für Verbrauchergeräte entwickeln, die Zahlungskartendaten akzeptieren (https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/If-a-merchant-develops-an-application-that-runs-on-a-consumer-s-device-e-g-smartphone-tablet-or-laptop-that-is-used-to-accept-payment-card-data-what-are-the-merchant-s-obligations-regarding-PCI-DSS-and-PA-DSS-for-that-application).

Wie Stripe Organisationen beim Erlangen und Erhalten der PCI-Konformität unterstützt

Die PCI-Konformität wird Unternehmen, die über Integrationen in Checkout, Elements, mobile Kundenschnittstellen und Terminal-SDKs verfügen, durch Stripe enorm erleichtert. Stripe Checkout und Stripe Elements nutzen ein gehostetes Zahlungsfeld zum Verarbeiten aller Zahlungskarteninformationen, sodass Karteninhaber/innen sensible Informationen direkt in ein Zahlungsfeld eingeben, das direkt aus unseren durch PCI DSS validierten Servern hervorgeht. Darüber hinaus ermöglichen es mobile Kundenschnittstellen und Terminal-SDKs von Stripe den Karteninhabern/Karteninhaberinnen, sensible Zahlungsinformationen direkt an unsere durch PCI DSS validierten Servern zu senden.

Mit solch sichereren Methoden zur Kartenannahme füllen wir das PCI-Formular (SAQ) auf dem Stripe Dashboard aus, sodass die PCI-Validierung nur noch einen Klick entfernt ist. Für kleinere Unternehmen bedeutet das eine Einsparung von Hunderten von Arbeitsstunden, größere Unternehmen können auf diese Weise sogar Tausende Stunden sparen.

Stripe agiert für alle Nutzer/innen, unabhängig von der Integration, als PCI-Vertreter und kann Ihnen auf verschiedene Weise behilflich sein.

  • Wir analysieren Ihre Integrationsmethode und beraten Sie bezüglich der Verwendung des richtigen PCI-Formulars und der Verringerung Ihrer Konformitätsbelastung.
  • Wir benachrichtigen Sie im Voraus, wenn ein wachsendes Transaktionsvolumen eine Änderung bei der Validierung der Konformität erfordert.
  • Für große Händler (Level 1) bieten wir ein PCI-Paket an, das die PCI-Validierungszeit von Monaten auf Tage verkürzen kann. Wenn Sie mit PCI QSA arbeiten müssen (z. B. weil Sie Kreditkarteninformationen speichern oder weil Ihr Zahlungsfluss komplexer ist), gibt es über 350 ähnliche QSA-Unternehmen weltweit, und wir können Sie mit mehreren Prüfern in Verbindung setzen, die die unterschiedlichen Stripe-Integrationsmethoden im Detail kennen.
Visa-Händler-Level Durchschnittliche Prüfzeit (jährliche Schätzungen) Durchschnittliche Prüfungszeit mit Stripe Elements, Checkout oder Mobil-SDKs (jährliche Schätzungen)
Level 1 3 bis 5 Monate 2 bis 5 Tage
Level 2 1 bis 3 Monate 0 Tage
Level 3 1 bis 3 Monate 0 Tage
Level 4 1 bis 3 Monate 0 Tage

Um mehr darüber zu erfahren, wie Stripe Ihnen dabei helfen kann, Ihre Kundendaten zu schützen und PCI-Konformität zu erlangen, lesen Sie bitte unsere Dokumente zu Integrationssicherheit.

Fazit

Überprüfung und Validierung der PCI-Konformität findet in der Regel einmal im Jahr statt, doch das heißt nicht, dass PCI-Konformität ein einmaliges Ereignis ist - vielmehr muss sie als wesentliche und kontinuierliche Bewertungs- und Sanierungsleistung betrachtet werden. Mit dem Wachstum eines Unternehmens, entwickeln sich auch die Kerngeschäftslogik und -verfahren weiter und damit die Konformitätsanforderungen. Ein Online-Unternehmen könnte sich beispielsweise entschließen, physische Geschäfte zu eröffnen, neue Märkte zu betreten oder ein Kundensupport-Center einzurichten. Wenn irgendeine Neuerung das Verarbeiten von Zahlungskartendaten erfordert, sollten Sie aktiv überprüfen, ob dies Auswirkungen auf Ihre PCI-Validierungsmethode hat und die PCI-Konformität gegebenenfalls revalidieren.

PCI-Konformität ist ein wichtiger Schritt, reicht aber alleine nicht aus.

Die Einhaltung der PCI DSS-Richtlinien ist ein wichtiger Schutzfaktor für Ihr Unternehmen, reicht aber alleine nicht aus. Der PCI DSS legt wichtige Standards für die Verarbeitung und Speicherung von Karteninhaberdaten fest, bietet jedoch alleine keinen ausreichenden Schutz für jede Zahlungsumgebung. Der Wechsel zu Kartenannahmemethoden, die mehr Sicherheit bieten (wie Stripe Checkouts, Elements oder Mobil-SDKs) kann Ihr Unternehmen auf effektivere Weise schützen. Der langfristige Vorteil für Sie besteht darin, dass Sie sich nicht auf Grundstandards der Branche verlassen und sich keine Gedanken über mögliche Sicherheitskontrollen machen müssen. Dieser Ansatz bietet beweglichen Unternehmen eine Möglichkeit, potentiellen Datenschutzverletzungen vorzugreifen, ohne dabei den emotionalen, zeit- und kostenaufwändigen herkömmlichen Weg zur PCI-Konformität gehen zu müssen. Ganz zu schweigen davon, dass eine sicherere Integrationsmethode das ganze Jahr über zuverlässig funktioniert.

Zurück zu den Leitfäden
You’re viewing our website for Latvia, but it looks like you’re in the United States. Switch to the United States site