Programm für Kontoinformationssicherheit und PCI Kartendaten schützen

Das Account Information Security (AIS) Program von Visa wurde entwickelt, um einen gezielten Schutz vor Kontokompromittierungen zu gewährleisten. Es verpflichtet alle Beteiligten, Kartendaten im gesamten Zahlungssystem zu sichern und Sicherheitsmängel zu beheben.

Payment Card Industry Data Security Standard (PCI DSS) Compliance

Die PCI DSS-Compliance ist für alle Unternehmen verpflichtend, die Visa Kartendaten speichern, verarbeiten oder übertragen – einschließlich Finanzinstitute, Händler und Service-Provider. Die Visa Programme steuern die PCI DSS-Compliance, indem sie von den Teilnehmern eine regelmäßige Nachweisführung verlangen.

Das PCI Security Standards Council (SSC) besitzt, pflegt und verwaltet den PCI DSS sowie alle zugehörigen Dokumente; Visa hingegen übernimmt die Durchsetzung und Validierung aller Maßnahmen zur Datensicherheits-Compliance.

PCI DSS-Compliance-Validierung für Händler und Service-Provider

Issuer und Acquirer sind verantwortlich dafür, dass alle ihre Service-Provider, Händler sowie die Service-Provider ihrer Händler die PCI DSS-Anforderungen erfüllen. Das ist die beste Möglichkeit, um mögliche Schwachstellen aufzudecken und sicherzustellen, dass Kartendaten sicher verarbeitet werden.

Kriterien für die Compliance-Validierung

Das gesamte Visa Transaktionsvolumen eines Händlers über einen Zeitraum von 12 Monaten bestimmt dessen Händlerstufe* und die erforderlichen Anforderungen für die Validierung. Acquirer müssen sicherstellen, dass ihre Händler die Validierung auf der passenden Stufe durchführen und die erforderlichen Compliance-Dokumente von ihren Händlern einholen.

*Die Identifizierung der Händlerstufe basiert auf dem gesamten Visa Transaktionsvolumen des Unternehmens (einschließlich Kredit-, Debit- und Prepaidkarten), das die jeweiligen Schwellenwerte in einem Land oder bei einem Acquirer pro Jahr erfüllt. Volumen von unabhängig betriebenen Standorten (z. B. Franchisenehmer, Lizenznehmer) kann ausgeschlossen werden, sofern es nicht über das Unternehmen verarbeitet wird.

Technology Innovation Program (TIP)

Händler, die durch Investitionen in sichere Technologien zur Vermeidung von Kartenfälschungsbetrug beigetragen haben, können vom TIP von Visa profitieren. Dieses Programm belohnt berechtigte Händler, indem es die Pflicht zur PCI DSS-Compliance-Überprüfung aufhebt. Voraussetzung ist, dass mindestens 75 % der jährlichen Transaktionen über EMV-Chip-fähige Terminals, eine validierte Point-to-Point-Verschlüsselungslösung oder eine integrierte Tokenisierungslösung gemäß EMVCo Tokenization Specification abgewickelt werden.

Erfahren Sie, wie Sie sich qualifizieren

Issuer und Acquirer müssen sicherstellen, dass alle ihre Service Provider mindestens alle 12 Monate die PCI DSS-Compliance nachweisen.

PIN (Personal Identification Number) Security Program

Wichtig: Visa hat das Ende seines PIN Security-Compliance-Programms mit Wirkung zum 1. Oktober 2023 angekündigt. Auch wenn das Programm nicht mehr in Kraft ist, müssen Kund:innen, Prozessoren und Service-Provider weiterhin die PCI-PIN-Sicherheitsanforderungen erfüllen.

Erfahren Sie mehr über die Aktualisierung des Visa PIN Security Program

Vorschriften und Prüfungen

Die Visa Core Rules sowie die Visa Product and Service Rules regeln die Aktivitäten der Kundeninstitute und in der Folge auch der Service-Provider und Händler als Teilnehmer am Visa Zahlungssystem.

Emittenten und Acquirer sind dafür verantwortlich, die PCI DSS-Compliance ihrer Service-Provider und Händler sicherzustellen, einschließlich der Service-Provider, die der Händler einsetzt. Ein Service-Provider und ein Händler müssen jederzeit vollständig compliant sein. (VCR-Abschnitts-ID #0002228 und #0008031)

Wenn ein Service-Provider oder Händler die PCI DSS nicht erfüllt oder ein Sicherheitsproblem nicht behebt, kann Visa dem Emittenten oder Acquirer eine Non-Compliance-Gebühr auferlegen. Der Emittent oder Acquirer ist verpflichtet, alle Gebühren zu zahlen und darf nicht den Eindruck erwecken, Visa habe eine Gebühr direkt gegenüber dem Service-Provider oder Händler erhoben. (VCR-Abschnitts-ID #0001054|

Gebühren können erlassen werden, wenn es keine Hinweise auf PCI DSS-Nicht-Compliance vor und zum Zeitpunkt einer Datenschutzverletzung gibt, wie in einer forensischen Untersuchung nachgewiesen.

Globales Verzeichnis der Service-Provider

Das Visa Global Registry of Service Providers ist die zentrale Quelle der Zahlungsindustrie für Informationen zu registrierten und compliant arbeitenden Dienstleistern, die Zahlungsdienste für Visa Kund:innen und Händler erbringen. Unterstützen Sie sichere Transaktionen, indem Sie ausschließlich mit zugelassenen Service-Providern zusammenarbeiten.

Verzeichnis anzeigen

Third Party Agent Registration Program

Third Party Agents (TPA), die Akquise-Tätigkeiten (ISO) durchführen, Geldautomaten, Point-of-Sale-(POS)- oder Kiosk-Akzeptanzgeräte bereitstellen und/oder Verschlüsselungsschlüssel verwalten (ESO), oder die Visa Kartendaten speichern, verarbeiten, übertragen oder darauf zugreifen, müssen im TPA Registration Program registriert werden, bevor Emittenten, Acquirer und Händler ihre Dienste nutzen dürfen.Erfahren Sie mehr über die Rolle

Erfahren Sie mehr über verschiedene Arten von TPAs

Sie vermuten einen Datenvorfall?

Schreiben Sie uns eine E-Mail