Die PCI-Compliance umfasst Standards und Richtlinien für Unternehmen, die personenbezogene Daten im Zusammenhang mit Kreditkarten betreffen. Die integrierten Zahlungsgateways, die wiederkehrende Zahlungen abwickeln, speichern die von den Kunden angegebenen Zahlungsinformationen. Umfangreiche Funktionen schieben Betrugsversuchen einen Riegel vor. Jedes Recurring Payment-System, das mit Kreditkarteninformationen verbunden ist, kann PCI-konform sein, muss es aber nicht. Ausschlaggebend ist die Einbindung in den Onlineshop und die dahinterliegende Server-Infrastruktur.

Idealerweise fließen Kreditkartendaten wie folgt: Dateneingabe > Daten werden an ein Gateway zur Autorisierung gesendet > Gateway sendet sie an den Kreditkartenaussteller zur Autorisierung > Gateway erhält Antwort > Onlineshop erhält Antwort vom Gateway > Onlineshop informiert Kunden über das Ergebnis > Ein PCI-konformer Kauf ist abgeschlossen

Wiederkehrende Zahlungen lassen sich nur über ein Payment Gateway, das sich die Berechtigung für weitere automatische Zahlungen merken kann, implementieren. Jedes Gateway steht zudem unter ständiger Aufsicht des Kartenherausgebers. Für Gateway und Onlineshop gelten dabei unterschiedliche Regeln.

Kurz: Recurring Payments müssen PCI-konform sein. Ob sie es sind, hängt von dem ausgewählten System und der gesamten Infrastruktur ab.