Back to guides SECURITY

PCI-DSS-konformes Payment-Gateway: Was es fuer Ihr Unternehmen bedeutet

PCI DSS (Payment Card Industry Data Security Standard) ist der globale Sicherheitsrahmen, der regelt, wie Kartendaten von jeder Entitaet verarbeitet, gespeichert oder uebertragen werden muessen, die Zahlungskarteninformationen verarbeitet. Fuer Haendler, die ein Payment-Gateway auswaehlen, ist das PCI-DSS-Zertifizierungslevel eines der wichtigsten technischen und kommerziellen Auswahlkriterien. Die Nutzung eines PCI-DSS-Level-1-zertifizierten Gateways reduziert die eigene Compliance-Last des Haendlers erheblich, schuetzt Karteninhaber und verringert das Risiko von Datenschutzverletzungen, die zu Schemabussgeldern und Karten-Neuausgabekosten fuehren. Dieser Leitfaden erklaert, was PCI-DSS-Compliance fuer ein Gateway bedeutet, die Zertifizierungsstufen, was ein Level-1-Gateway fuer Ihr Compliance-Programm tut und was Haendler noch unabhaengig tun muessen.

PCI-DSS-konformes Payment-Gateway | RoxPay

Was PCI-DSS-Compliance fuer ein Payment-Gateway bedeutet

PCI DSS ist eine Reihe von Sicherheitsanforderungen, die von den grossen Kartensystemen (Visa, Mastercard, Amex, Discover, JCB) durch den PCI Security Standards Council entwickelt wurden. Der Standard gilt fuer jede Entitaet, die Karteninhaberdaten verarbeitet, speichert oder uebertraegt, definiert primaer als die Primaere Kontonummer (PAN) kombiniert mit zusaetzlichen Datenelementen (Name, Ablaufdatum, Service-Code).

Fuer ein Payment-Gateway bedeutet PCI-DSS-Compliance, dass die gesamte Infrastruktur des Gateways, einschliesslich seiner Server, Netzwerke, Anwendungen und Betriebsverfahren, die in dem aktuellen PCI-DSS-Standard definierten Sicherheitsanforderungen erfuellt.

Warum es fuer Haendler wichtig ist: Ein Gateway, das nicht PCI-DSS-konform ist, schafft Haftungsexposition fuer jeden Haendler, der es nutzt. Wenn durch das Gateway verarbeitete Karteninhaberdaten kompromittiert werden, koennen die Kartensysteme Bussgelder verhaengen, eine Karten-Neuausgabe auf Kosten des Haendlers erfordern und in schwerwiegenden Faellen die Verarbeitungslizenzen des Acquirers widerrufen.

Laufende Zertifizierung: PCI-DSS-Compliance ist keine einmalige Zertifizierung. Level-1-Gateways unterziehen sich jaehrlichen Vor-Ort-Sicherheitsbewertungen durch einen Qualified Security Assessor (QSA) und vierteljaelichen Netzwerk-Schwachstellenscans.

Fuer Haendler, die ein spezialisiertes High-Risk-Payment-Gateway nutzen, ist die PCI-DSS-Level-1-Zertifizierung auf Gateway-Ebene besonders wichtig, weil Hochrisiko-Haendlerkategorien erhoehte Aufmerksamkeit sowohl von Betrueegern als auch von Regulatoren auf sich ziehen.

PCI-DSS-Stufen: Level 1 vs. Level 2 vs. Level 3 vs. Level 4

Die PCI-DSS-Zertifizierung ist nach Transaktionsvolumen gestaffelt, mit unterschiedlichen Compliance-Validierungsanforderungen fuer jede Stufe.

Service-Provider-Stufen:
Level-1-Service-Provider verarbeiten oder speichern oder uebertragen mehr als 300.000 Kartentransaktionen pro Jahr. Sie muessen sich einer jaehrlichen Report-on-Compliance (RoC) unterziehen, der von einem Qualified Security Assessor erstellt wird, plus vierteljaelichen Netzwerkscans. Dies ist die strengste Bewertungsstufe und diejenige, fuer die RoxPay zertifiziert ist.

Level-2-Service-Provider verarbeiten weniger als 300.000 Kartentransaktionen pro Jahr. Sie koennen einen jaehrlichen Self-Assessment Questionnaire (SAQ) plus vierteljaeliche Scans selbst ausfuellen.

Haendlerstufen (zum Kontext):
Haendler-Level 1: Ueber sechs Millionen Visa- oder Mastercard-Transaktionen pro Jahr. Erfordert eine jaehrliche QSA-Vor-Ort-Bewertung.
Haendler-Level 2: Eine bis sechs Millionen Transaktionen pro Jahr.
Haendler-Level 3: 20.000 bis eine Million E-Commerce-Transaktionen.
Haendler-Level 4: Weniger als 20.000 E-Commerce-Transaktionen oder weniger als eine Million andere Transaktionen.

Was eine Level-1-Zertifizierung signalisiert: Ein PCI-DSS-Level-1-zertifiziertes Gateway hat sich der rigorosesten moeglichen Drittanbieter-Sicherheitsbewertung unterzogen. Fuer Haendler stellt dies die hoechste verfuegbare Zusicherung dar, dass die Verarbeitungsinfrastruktur, auf die sie sich verlassen, den hoechsten Sicherheitsstandard der Branche erfuellt.

Wie die Nutzung eines PCI-DSS-Level-1-Gateways Ihre Compliance-Last reduziert

Die Nutzung eines PCI-DSS-Level-1-Gateways reduziert den Umfang Ihres eigenen PCI-DSS-Compliance-Programms erheblich, aber das Ausmas der Reduktion haengt von Ihrer Integrationsmethode ab.

Hosted-Page-Integration (vollstaendige Umfangsreduzierung): Wenn Sie die Hosted-Payment-Page des Gateways verwenden, wird Ihr Kunde auf die Domain des Gateways weitergeleitet, um Kartendaten einzugeben. Ihre Infrastruktur sieht niemals Kartendaten. Unter diesem Modell qualifizieren Sie sich fuer SAQ A, den einfachsten Selbstbewertungsfragebogen mit etwa 22 Anforderungen.

Drop-in-UI- oder iFrame-Integration (nahezu vollstaendige Umfangsreduzierung): Wenn das Gateway JavaScript-injizierte iFrame-Elemente fuer die Karteneingabe innerhalb Ihrer Checkout-Seite bereitstellt, werden die Kartendaten innerhalb des sicheren iFrames des Gateways verarbeitet. Sie qualifizieren sich ebenfalls fuer SAQ A.

REST-API mit Tokenisierung (maessige Umfangsreduzierung): Wenn Ihr Frontend Kartendaten sammelt und an Ihren Server sendet, der dann die Gateway-API aufruft, befindet sich Ihr Server im PCI-DSS-Anwendungsbereich. Diese Integrationsart erfordert SAQ D oder eine vollstaendige QSA-Bewertung.

Was Umfangsreduzierung in der Praxis bedeutet: SAQ-A-Compliance ist fuer die meisten kleinen und mittelstaendischen Haendler ohne dediziertes Sicherheitspersonal erreichbar. SAQ-D-Compliance erfordert erhebliche Investitionen in Sicherheitskontrollen, Dokumentation und moeglicherweise eine QSA-Beauftragung.

Was Haendler auch mit einem complianten Gateway noch tun muessen

Die Nutzung eines PCI-DSS-Level-1-zertifizierten Gateways reduziert Ihre Compliance-Last, eliminiert aber nicht alle PCI-Verpflichtungen.

SAQ abschliessen: Selbst unter SAQ A muessen Haendler den Selbstbewertungsfragebogen ausfuellen und aufbewahren.

Anwendungsebene sichern: Ihre Website und Anwendung sind fuer PCI DSS im Anwendungsbereich, insbesondere in Bezug auf die Verhinderung von Web-Skimming-Angriffen. PCI DSS 4.0 hat spezifische Anforderungen zum Schutz von Zahlungsseiten vor clientseitiger Script-Injection eingefuehrt.

API-Zugangsdaten schuetzen: Ihre API-Schluessel und Webhook-Signiergeheimnisse muessen sicher gespeichert, regelmaessig rotiert und niemals in clientseitigem Code oder der Versionskontrolle exponiert werden.

Systemhygiene aufrechterhalten: Server, Anwendungen und Infrastruktur, die Teil Ihrer Zahlungsumgebung sind, muessen gepatcht und gesichert werden.

Verbotene Daten nicht speichern: Selbst bei Verwendung eines Hosted-Gateways duerfen Sie keine vollstaendigen Kartennummern, CVVs oder Magnetstreifendaten in einem von Ihnen kontrollierten System aufbewahren.

RoxPay PCI-DSS-Level-1-Zertifizierung und was sie abdeckt

RoxPay haelt die PCI-DSS-Level-1-Zertifizierung mit der Zertifikatnummer QS83A47X629. Diese Zertifizierung wird durch jaehrliche Vor-Ort-Bewertungen durch einen Qualified Security Assessor und vierteljaeliche Netzwerkscans aufrechterhalten.

Was die Zertifizierung abdeckt: Die gesamte RoxPay-Zahlungsverarbeitungsinfrastruktur, einschliesslich Kartendaten-Tresore, Transaktionsverarbeitungsserver, Netzwerkinfrastruktur, API-Endpunkte und Betriebsverfahren.

Was das fuer Haendler bedeutet: Haendler, die den Hosted-Checkout oder die Drop-in-UI-Integration von RoxPay verwenden, koennen sich fuer SAQ A qualifizieren. Dies reduziert den Compliance-Overhead auf eine jaehrliche Selbstbewertung und vierteljaeliche Scans.

ISO-27001-Zertifizierung: Zusaetzlich zu PCI DSS Level 1 haelt RoxPay die ISO-27001-Zertifizierung, die das Informationssicherheitsmanagementsystem umfassend abdeckt, einschliesslich Datenschutz, Zugangsverwaltung, Incident-Response und Geschaeftskontinuitaet.

OAM-Registrierung: RoxPay ist beim italienischen OAM (Organismo Agenti e Mediatori) registriert.

Um Ihre RoxPay-Bewerbung zu starten und auf die Sandbox-Umgebung fuer PCI-konforme Integrationstests zuzugreifen, fuellen Sie das digitale Onboarding-Formular aus. Die vollstaendige API-Dokumentation einschliesslich Sicherheitsintegrationsleitfaden ist unter app.roxpay.eu/api/v4/docs verfuegbar.

Frequently Asked Questions

Was ist der Unterschied zwischen PCI-DSS-Level-1 und Level-2?

Fuer Service-Provider (Payment-Gateways) erfordert Level 1 eine jaehrliche Vor-Ort-Bewertung durch einen Qualified Security Assessor, der einen formellen Report on Compliance erstellt. Level 2 erlaubt die Selbstvervollstaendigung eines Self-Assessment Questionnaire. Level 1 ist strenger und bietet Haendlern groessere Sicherheit, weil ein unabhaengiger Sicherheitsexperte die gesamte Verarbeitungsumgebung physisch geprueft und zertifiziert hat.

Muss ich PCI-DSS-konform sein, wenn ich den Hosted-Checkout von RoxPay verwende?

Ja, aber Ihre Compliance-Verpflichtung ist minimal. Die Verwendung des Hosted-Checkouts oder der Drop-in-UI von RoxPay bedeutet, dass Sie sich fuer SAQ A qualifizieren, was das Ausfuellen eines kurzen Selbstbewertungsfragebogens mit etwa 22 Anforderungen plus vierteljaeliche Netzwerkscans beinhaltet. Sie benoetigen kein QSA-Audit oder eine vollstaendige SAQ-D-Bewertung.

Was ist PCI DSS 4.0 und betrifft es Haendler, die Hosted-Checkouts verwenden?

PCI DSS Version 4.0 wurde 2022 veroeffentlicht und wurde 2024 zum geltenden Standard. Fuer Haendler, die Hosted-Checkouts verwenden, ist die relevanteste neue Anforderung in v4.0 die Notwendigkeit, ein Script-Inventar und Integritaets-Monitoring fuer alle Skripte, die auf Ihren Zahlungsseiten ausgefuehrt werden, aufrechtzuerhalten. Dies gilt auch unter SAQ A.

Mehr erfahren

Das könnte Sie auch interessieren

Hochrisiko-Zahlungsgateway

Sichere Zahlungsabwicklung für Hochrisiko-Branchen mit Multi-Acquirer-Routing und Chargeback-Schutz.

Mehr lesen

Zahlungslösungen für Kleinunternehmen

Transparente IC++-Preisgestaltung, kostenloses Smart-POS-Terminal und Aktivierung in 24 Stunden für Kleinunternehmen.

Mehr lesen

E-Commerce-Zahlungsintegrationen

One-Click-Plugins für Shopify, WooCommerce, Magento und PrestaShop mit vollständigem API-Zugriff.

Mehr lesen
Get started today

Optimize your payments today

RoxPay ist PCI-DSS-Level-1-zertifiziert (QS83A47X629) und ISO-27001-zertifiziert. Haendler, die den Hosted-Checkout verwenden, qualifizieren sich fuer SAQ-A-Compliance. IC++ ab 0,45 Prozent, Settlement auf jede SEPA-Bank in 24-48 Stunden.

Get started for free → Talk to an expert

✓ No monthly fixed costs · ✓ Activation in 24 hours · ✓ Dedicated technical support