Das Verständnis der komplexen Welt der PCI-Compliance ist eine herausfordernde Aufgabe, insbesondere wenn Sie ein Kleinunternehmer sind, dessen Fachgebiet nicht im Technologie- und Sicherheitsbereich liegt.
Rund um den Payment Card Industry Data Security Standard (PCI DSS) gibt es viele Informationen und Fehlinformationen, die für Personen, die noch keine Erfahrung mit den Compliance-Anforderungen haben, verwirrend sein können. Möglicherweise haben Sie von Ihrem Zahlungsgateway oder von Ihrem Geschäftsinhaberfreund von PCI gehört, oder Sie haben Ihre Nachforschungen angestellt und wissen, dass Sie einen Fragebogen ausfüllen sollten.
Während die PCI-Compliance auf den ersten Blick schwierig oder überwältigend erscheinen mag, kann es mit guten Anleitungen und Tools (die Sie über das MTI-Programm haben) ein einfacher Prozess sein, um konform zu sein und Ihr Unternehmen vor der Bedrohung durch Cyberangriffe zu schützen.
Eine vollständige Übersicht darüber, was Sie tun müssen, um die PCI DSS-Anforderungen für Ihr Unternehmen zu erfüllen, finden Sie in unseren Business Security Solutions. Wenn Sie jedoch gemischte Informationen gehört haben, die Sie im Zweifel darüber lassen, ob Sie PCI-konform sein müssen oder nicht, finden Sie hier einige der wichtigsten Missverständnisse rund um die PCI DSS-Konformität und die Informationen, die Sie auf den richtigen Weg bringen.
Ich bin ein kleines Unternehmen mit nur wenigen kartenzahlenden Kunden, ich muss mir keine Sorgen um die PCI DSS-Konformität machen
Egal wie groß oder klein Ihr Unternehmen ist, die PCI DSS-Konformität gilt für jedes Unternehmen, das Kreditkartendaten verarbeitet, speichert oder überträgt. Es sei denn, Sie verarbeiten Kartenzahlungen nur mit einem eigenständigen eftpos-Terminal für persönliche Transaktionen, Sie sind dafür verantwortlich, die PCI DSS-Anforderungen zu erfüllen. Es dauert nur eine Datenverletzung, bis Sie bestraft werden, weil Sie die Kreditkartendaten Ihres Kunden nicht geschützt haben.
Outsourcing der Kartenverarbeitung macht mein Unternehmen konform
Die Verpflichtung, die PCI DSS-Konformität nachweisen zu können, liegt bei Ihnen, dem Händler. Sie können PCI-DSS-konforme Drittanbieter wie eWAY verwenden, um Aspekte Ihrer Kartenverarbeitung zu verwalten, aber es gibt immer noch viele Berührungspunkte auf der Seite Ihres Unternehmens, die die Implementierung von Best Practices für die PCI-DSS-Compliance erfordern. Wenn Sie sicherstellen, dass jeder Touchpoint den PCI DSS (Data Security Standard) erfüllt, tragen Sie dazu bei, Cyberangriffe und die enormen Auswirkungen eines Angriffs auf Ihr Unternehmen zu verhindern.
Ich muss nicht ALLE PCI-DSS-Anforderungen befolgen
Die PCI-DSS-Konformität ist keine Auswahl. Um PCI DSS-konform zu sein, müssen Sie alle 12 PCI DSS-Anforderungen erfüllen. Alle Kriterien bilden die grundlegenden Sicherheitsmaßnahmen, die jedes Unternehmen ergreifen sollte, um sowohl seine Kunden als auch sich selbst vor Datenverletzungen zu schützen.
Haften Sie persönlich, wenn Ihr Unternehmen eine Datenschutzverletzung erleidet?
Ich hatte noch nie eine Sicherheitsverletzung, daher muss ich mir keine Sorgen um PCI DSS machen
Sie haben vielleicht gehört, dass die PCI DSS-Compliance nur durchgeführt werden muss, wenn Sie eine Sicherheitsverletzung festgestellt haben. Dies ist nicht der Fall, obwohl Ihr Acquirer Sie nach einem Verstoß möglicherweise dazu zwingt, sich einem Sicherheitssanierungsprogramm zu unterziehen und Ihre PCI-DSS-Compliance überprüfen zu lassen. Sie müssen PCI DSS-konform sein, unabhängig davon, ob Sie eine Datenschutzverletzung hatten oder nicht. PCI-DSS-Sicherheitsanforderungen helfen, Datenschutzverletzungen zu verhindern und wahrscheinlich Ihr Unternehmen zu retten. Vorbeugen ist viel besser als heilen.
PCI-DSS-Konformität gilt nur für Unternehmen, die Kreditkarteninformationen auf ihren Computern speichern
Jedes Unternehmen, das Kreditkarteninformationen verarbeitet, einschließlich der Erfassung in Papierform oder in elektronischer Form, der Übertragung an eine andere Organisation oder der Speicherung, muss PCI-DSS-konform sein. Es gibt viele Berührungspunkte in Ihrem Unternehmen, die mit Kreditkartendaten in Kontakt kommen können und daher PCI DSS-konform sein müssen. Sie können Zahlungen per Telefon abwickeln, Kreditkartendaten per E-Mail erhalten oder physische Aufzeichnungen über Zahlungsdetails in Ihrem Büro speichern. Alle Bereiche in Ihrem Unternehmen müssen die PCI DSS-Anforderungen erfüllen, stellen Sie also sicher, dass Sie alle verschiedenen Berührungspunkte gelesen und verstanden haben.
Ich muss nur alles auf dem Fragebogen zur Selbsteinschätzung mit Ja beantworten
Der Fragebogen zur Selbsteinschätzung beinhaltet die Beantwortung vieler detaillierter Fragen zur Verwaltung von Kreditkartendaten und zur Sicherheit Ihres Unternehmens. Dies dient dazu, ein genaues Verständnis der Prozesse Ihres Unternehmens in Bezug auf Kreditkartendaten zu erhalten. Wenn Sie jedoch nur jede Frage mit Ja beantworten, sind Sie und Ihr Unternehmen nicht konform. Wenn Sie die Fragen ehrlich beantworten, werden Sie aufgefordert, die richtigen Sicherheitsmaßnahmen für Ihr Unternehmen zu ergreifen, damit Sie wirklich PCI DSS-konform sind. Wenn Sie alle Fragen mit Ja beantworten, auch wenn dies nicht die wahre Antwort ist, werden Sie Ihre Kunden und sich selbst für einen Datenhack anfällig machen.
Unsere Entwickler gaben an, dass unsere Website PCI DSS-konform ist
Obwohl Teile Ihrer Website möglicherweise PCI DSS-konform sind, liegt es in Ihrer Verantwortung sicherzustellen, dass jeder Bereich Ihres Unternehmens PCI DSS-konform ist. Es gibt viele andere Berührungspunkte, die Ihr Unternehmen möglicherweise mit Kreditkartendaten hat, die Sie möglicherweise nicht kennen. Wenn ein Datenverstoß auftritt, werden Sie derjenige sein, der für den Verstoß verantwortlich gemacht wird, und die Auswirkungen werden bei Ihnen landen.
Wenn Sie Zahlungen nur über Ihre Website abwickeln, müssen Sie noch zwei Anforderungen erfüllen:
- Stellen Sie sicher, dass Ihre Webseite sicher gehostet und regelmäßig gepatcht und auf Schwachstellen überprüft wird
- Ihr MTI-Abonnement enthält einen Schwachstellenscanner
- Füllen Sie den Fragebogen zur Selbsteinschätzung aus (SAQ-A oder SAQ-A-EP)
- Verwenden Sie das Trustkeeper-Bewertungstool, indem Sie als Zahlungsmethode auswählen und „Ich lagere meine Zahlungsabwicklung vollständig aus“
PCI-DSS-Compliance ist teuer
Die Idee, dass Sie möglicherweise einen Spezialisten beauftragen müssen, der Ihnen bei Ihrer PCI-DSS-Compliance hilft, ist falsch. Geschäftsinhaber, die an unserem Merchant Trust Initiative (MTI) -Programm teilnehmen, erhalten die Tools und Hilfe, die sie benötigen, um alle ihre PCI DSS-Compliance-Verantwortlichkeiten zu erfüllen. Wenn Sie sich überfordert fühlen oder Unterstützung bei der Erfüllung Ihrer PCI-DSS-Compliance-Anforderungen oder bei der Durchführung des PCI-DSS-Fragebogens zur Selbsteinschätzung benötigen, rufen Sie uns unter 1300 763 256 an oder senden Sie eine E-Mail an unser Team, das Sie bei all Ihren PCI-DSS-Compliance-Anforderungen unterstützen kann.