In Ihrer Zusammenarbeit mit Zahlungsdienstleistern werden Sie bei der Einrichtung und auch im laufenden Betrieb mit einigen Abkürzungen und Richtlinien konfrontiert. Dazu gehört bei der initialen Einrichtung eine mögliche AML-Prüfung/Auskunft und die üblicherweise jährlich durchzuführende SAQ-Selbstauskunft, welche auch ASV-Scans und Fragen zur PCI-Zertifizierung umfassen kann. In diesem Beitrag versuchen wir, Ihnen unverbindlich Erklärungen dazu bereitzustellen.
PCI-DSS
Das "PCI Security Standards Council" ist ein Forum, welches sich mit Sicherheitsstandards in der Kreditkartenbranche beschäftigt. Als PCI-DSS werden jene einheitlichen Standards bezeichnet ("Data Security Standards"), welche vom PCI-Council definiert werden. Zahlungsanbieter sind nach dessen Vorgaben "PCI-zertifiziert". incert verarbeitet (wie fast alle techn. Shopanbieter) die Zahlungsdaten und -Transaktionen nicht selbst, sondern bindet dazu einen Payment Service Provider an das Shopsystem an.
SAQ-Selbstauskunft
Als Händler kann ihr Zahlungsanbieter von Ihnen eine Selbstauskunft (üblicherweise in Form des "Self-Assessment Questionnaires", abgekürzt "SAQ") einfordern. Für Hilfe zum Ausfüllen des Fragebogens, wenden Sie sich bitte zunächst an den Kundenservice Ihres Acquirers. Der grundsätzliche Ablauf der Zahlung in incert-Systemen ist, dass der Kunde von incert an einen Zahlungsanbieter geleitet wird, dieser dort die Zahlung/Transaktion abschließt und der Kunde anschließend zur Erfolgsseite im incert-System zurückgeleitet wird.
ASV-Scan
Im Zuge der Selbstauskunft kann Ihr Zahlungsanbieter einen "ASV-Scan" einfordern. Dabei handelt es sich um einen vierteljährlichen Scan auf Schwachstellen bzw. auf Erfüllung von PCI-Anforderungen, welche den Shop selbst betreffen. Im Falle von incert ist die Firma USD AG in Deutschland mit den Scans beauftragt. Die USD AG ist vom PCI Council als "Approved Scanning Vendor" registriert ist.
Incert führt mit der USD AG vierteljährliche Scans eines eigens dafür angelegten Mustershopsystems durch. Ihr Shopsystem ist über die gleiche IP-Adresse erreichbar bzw. am gleichen Servercluster gehostet. Daher können Sie diesen Scan des Mustersystems (wenn vom Zahlungsanbieter angefragt) im Zuge der Selbstauskunft übermitteln.
Download des ASV-Scans (Version März 2025)
AML-Prüfung
Als "AML" werden Richtlinien gegen Geldwäsche und Terrorismusfinanzierung (Anti-Money Laundering) zusammengefasst, welche sowohl Zahlungsanbieter als auch Shopbetreiber betreffen. Als Shopbetreiber müssen Sie üblicherweise bestimmte Angaben im Rahmen der initialen Einrichtung des Zahlungsanbieters machen. Die benötigten Angaben und Prüfungen unterscheiden sich je nach Zahlungsanbieter und können folgendes umfassen:
- Sichtprüfung des Shops: oft wird die Shopseite direkt im Browser geprüft. Stellen Sie vorab sicher, dass sowohl Impressum als auch AGB bereits im Shop eingegeben wurden und im Warenkorb eine maximale Bestellsumme definiert ist (ist im incert-Standard bereits eingestellt)
- Fragen zu verkauften Produkten, Märkten und Beschränkungen: im incert-System ist die Bestellsumme gedeckelt. Sie können Ihr aktuelles Limit testen, indem Sie mit einer hohen Bestellsumme im Warenkorb auf "fortsetzen" klicken. Meist ist das Limit im Bereich von 2.000 bis 5.000 eingestellt. Zusätzlich sind Bestellungen nur aus bestimmten Ländern möglich. Diese sehen Sie im Checkout in der Bestelldateneingabe in der Länderauswahl (Dropdown-Feld). Üblicherweise ist der Kauf auf europäische Länder begrenzt.
Bei Fragen können Sie uns gerne unter service@incert.at kontaktieren. Wir werden Ihre Anfrage nach bestem Wissen beantworten. Bei Detailfragen (insbesondere zu den von den Zahlungsdienstleistern abgefragten Informationen) verweisen wir Sie gegebenenfalls an den Kundenservice des Zahlungsdienstleisters.