PCI-DSS-Konformität ist für kartenverarbeitende Fintech-Unternehmen obligatorisch; Fahrlässigkeit = schwere Strafe + keine Versicherung.
Ebenen
- Stufe 1: 6 Mio.+ Transaktionen pro Jahr.
- Stufe 2: 1–6 Mio.
- Stufe 3: 20.000–1 Mio. E-Commerce.
- Stufe 4: <20.000 E-Commerce.
Grundlegende Anforderungen
- Sicheres Netzwerk + Firewall.
- Kartendatenverschlüsselung.
- Zugriffskontrolle + Protokoll.
- Regelmäßiger Pen-Test + Audit.
KVKK parallel
- Kartendaten werden als private Daten gespeichert.
- Ausdrückliche Zustimmung + Speichervorgang.
Häufig gefragt
Reicht es aus, die Kartennummer nicht zu verbergen?
Mit der Tokenisierung wird das Risiko verringert, aber die Einhaltung ist weiterhin erforderlich.
Ist PCI-DSS 4.0 obligatorisch?
Ja, der Übergang 2024–2025 ist abgeschlossen.
Was ist die Verantwortung, wenn ich auslagere (Stripe usw.)?
Geteilt; Die Hauptverantwortung liegt weiterhin beim Betreiber.
Einschlägige Gesetzgebung
- Gesetz Nr. 6493 – Zahlung und elektronisches Geld; Lizenzierung, Betriebserlaubnis.
- BRSA-Vorschriften – Zahlungsinstitut/EML-Genehmigung, Kapital, Berichterstattung.
- 5549 SK – MASAK; KYC, STR, regelmäßige Aktivität.
- KVKK + DSGVO – Datensicherheit, grenzüberschreitende Übermittlung.
- PCI-DSS – Kartenspeicher; Konformität mit PCI Level 1–4.
Rechtlicher Hinweis: Dieser Artikel dient allgemeinen Informationszwecken; Für einen konkreten Fall ist ein Gespräch mit einem Anwalt erforderlich.