Befinde ich mich im vollen PCI-Scope, wenn ich die Silent Order Schnittstelle (PayNow) verwende?

Die Payment Card Industry Data Security Standard (PCI DSS) Compliance ist ein wesentlicher Aspekt für Unternehmen, die Kreditkartenzahlungen verarbeiten. Die Verwendung der Silent Order Schnittstelle, auch bekannt als PayNow, wirft spezifische Fragen bezüglich des PCI-Scopes auf. Insbesondere ist es wichtig zu verstehen, inwiefern die Nutzung dieser Technologie das Compliance-Niveau beeinflusst, das von einem Händler verlangt wird.

PCI Compliance und PayNow:

  • SAQ A-EP Scope: Bei der Verwendung der PayNow-Schnittstelle befindet sich ein Händler im SAQ A-EP (Self-Assessment Questionnaire for E-commerce Merchants using a Third-Party Website for Payment Processing) Scope. Dies bedeutet, dass der Händler einem erweiterten Fragebogen unterliegt, der detailliertere Informationen über die Sicherheitsmaßnahmen des Händlers erfordert.

Warum ein erweiterter Scope?

  • Kartenformular im Shop: Bei PayNow liegt das Kartenformular direkt im Online-Shop des Händlers. Dies bedeutet, dass der Händler die Kreditkarteninformationen der Kunden zumindest temporär verarbeitet, bevor diese an das Paygate weitergeleitet werden.
  • POST auf das Paygate: Wenn ein Kunde auf "Senden" klickt, wird eine POST-Anfrage an das Paygate gesendet. Dieser Vorgang impliziert, dass die Kreditkarteninformationen durch die Systeme des Händlers fließen, bevor sie das Zahlungsgateway erreichen.
  • Erhöhtes Risiko: Aus Sicht des Acquirers stellt dies ein erhöhtes Risiko dar. Der Händler hat direkten Zugriff auf sensible Kreditkarteninformationen, was ein potenzielles Sicherheitsrisiko birgt. Daher ist eine strengere Compliance erforderlich, um sicherzustellen, dass diese Daten angemessen geschützt sind.

Abschließende Zusammenfassung

Die Nutzung der Silent Order Schnittstelle (PayNow) im E-Commerce führt dazu, dass sich Händler im SAQ A-EP Scope der PCI DSS Compliance befinden. Dieser erweiterte Scope ist auf das direkte Handling von Kreditkarteninformationen im Shop und den anschließenden POST-Vorgang zum Paygate zurückzuführen. Acquirer fordern daher von Händlern einen umfassenderen Compliance-Nachweis, um das erhöhte Risiko zu managen. Händler müssen sich dieser Anforderungen bewusst sein und sicherstellen, dass ihre Systeme und Prozesse den strengeren Sicherheitsstandards entsprechen.

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich