PCI DSS 3.0

Für die Verarbeitung von Kreditkartenzahlungen im E-Commerce gilt seit dem 1. Januar 2015 der neue Sicherheitsstandard PCI DSS 3.0.

Nebst zahlreichen Detailoptimierungen gibt es auch grössere Anpassungen – die wohl wesentlichste Neuerung betrifft die Selbstdeklaration und Klassifizierung der einzelnen Online-Händler.

Für die Selbstdeklaration erhielten bisher sämtliche Händler einen einheitlichen Fragebogen (Self Assessment Questionnaire – SAQ) mit ca. 10 Fragen. Neu werden die Händler in 2 Gruppen unterteilt. Für Händler, die ihr Bezahlformular (Formular zur Erfassung der Kreditkarteninformationen) vollständig an einen zertifizierten Payment Service Provider auslagern, gelten die gleichen Bedingungen wie bisher (SAQ A). Dies trifft beispielsweise zu für alle Händler, die bereits heute den Datatrans Standard Mode nutzen – mit Redirect auf Bezahlformulare, die von Datatrans verwaltet werden. Den Fragebogen SAQ A für die vereinfachte Selbstdeklaration finden Sie unter folgendem Link:

Fragebogen SAQ A

Für Händler, die ihr Bezahlformular selbst verwalten und lediglich die Kreditkarteninformationen direkt an einen zertifizierten Payment Service Provider weiterleiten, gelten seit dem 1. Januar 2015 zusätzliche Auflagen – sie erhalten neu einen Fragebogen mit über 100 Kriterien (SAQ A-EP).

Einen Vergleich zwischen den beiden Möglichkeiten zur Selbstdeklaration finden Sie hier:

Understanding SAQs PCI DSS  

Für welche Zahlungslösungen von Datatrans gelten neu die zusätzlichen Auflagen zur Selbstdeklaration (SAQ A-EP)?

Die zusätzlichen Auflagen für die Selbstdeklaration (SAQ A-EP) gelten für alle Händler, die ihr Bezahlformular zur Eingabe der Kreditkarteninformationen selber verwalten – im Falle der Zahlungslösungen von Datatrans gilt dies für die beiden Lösungsvarianten „Hidden Mode“ und „Ajax“. 

Wenn Sie eine dieser beiden Zahlungslösungen verwenden bzw. als bestehender Kunde von Datatrans weiterhin beibehalten möchten, informieren Sie sich bitte über die zusätzlichen Anforderungen, die es mit Ihrer Selbstdeklaration im Rahmen von PCI DSS 3.0 zu erfüllen gilt. Den für Sie relevanten Fragebogen  SAQ A-EP finden Sie unter folgendem Link:

Fragebogen SAQ A-EP 

Die Auflagen für eine Selbstdeklaration nach SAQ A-EP sind hoch und mit jährlich wiederkehrenden Zusatzkosten verbunden. Dieser Lösungsansatz eignet sich aus Sicht Datatrans daher hauptsächlich für grosse Händler, welche die neuen Auflagen ohnehin bereits heute mehrheitlich erfüllen.

Zu den Datatrans Zahlungslösungen

Erhöhte Sicherheitsanforderungen von PCI DSS ab Juli 2018