26. Februar 2026

PCI DSS einfach erklärt: Ein praktischer Leitfaden zum Payment Card Industry Standard

PCI DSS einfach erklärt: Ein praktischer Leitfaden zum Payment Card Industry Standard

Der Blick in die offizielle PCI DSS-Dokumentation kann sich anfühlen, als versuchte man, einen alten Text zu entziffern. Es ist ein dichtes Labyrinth aus Fachjargon, das Sie mit Sorgen über hohe Geldstrafen und der Unsicherheit zurücklässt, wo Sie überhaupt anfangen sollen. Für jedes Unternehmen, das Kartenzahlungen verarbeitet, ist das Verständnis des payment card industry pci standard nicht nur eine gute Idee – es ist eine strikte Anforderung. Aber die Navigation durch diese komplexe Landschaft muss keine überwältigende oder kostspielige Tortur sein, die Ihnen den Schlaf raubt.

Hier kommt unser praktischer Leitfaden ins Spiel. Wir beseitigen die Komplexität, um Ihnen genau das zu geben, was Sie brauchen. In diesem Artikel werden wir den Standard entmystifizieren, die 12 Kernanforderungen in eine umsetzbare Checkliste aufschlüsseln und einen klaren Weg zur Validierung Ihrer Compliance aufzeigen. Sie werden ein solides Verständnis von PCI DSS erlangen und das Vertrauen gewinnen, die Daten Ihrer Kunden zu schützen, Ihr Geschäft zu sichern und Ihre Ängste vor Nichteinhaltung für immer zu beseitigen.

Wichtigste Erkenntnisse

  • Verstehen Sie, dass PCI DSS ein entscheidendes Sicherheitsframework ist, das entwickelt wurde, um Kundendaten von Karteninhabern zu schützen und kostspielige Datenschutzverletzungen zu verhindern.
  • Der komplexe payment card industry pci standard wird in 12 Kernanforderungen vereinfacht, die in 6 Schlüsselziele unterteilt sind und eine klare Struktur für die Implementierung bieten.
  • Identifizieren Sie Ihr erforderliches Compliance-Level und folgen Sie einem klaren 5-Schritte-Plan, um Ihren Weg von der ersten Bewertung bis zur laufenden Wartung zu optimieren.
  • Erfahren Sie, warum kontinuierliche Sicherheitstests ein grundlegendes Prinzip von PCI DSS sind, das über ein einfaches Kontrollkästchen hinausgeht, um sicherzustellen, dass Ihre Systeme sicher bleiben.

Was ist der PCI Data Security Standard (PCI DSS) und warum ist er wichtig?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein globales Informationssicherheits-Framework, das für jede Organisation entwickelt wurde, die Karteninhaberdaten speichert, verarbeitet oder überträgt. Sein Hauptziel ist die Reduzierung von Kreditkartenbetrug durch die Erhöhung der Kontrollen rund um sensible Zahlungsinformationen. Es ist wichtig zu verstehen, dass PCI DSS kein Gesetz ist; vielmehr ist es eine vertragliche Verpflichtung, die von den großen Zahlungskartenmarken gefordert wird. Die Einhaltung dieses Standards ist entscheidend für den Schutz Ihrer Kunden, den Aufbau von Vertrauen und die Vermeidung erheblicher Schäden an Ihrer Marke.

Um dieses Konzept besser zu verstehen, sehen Sie sich dieses hilfreiche Video an:

Der Standard schützt insbesondere zwei Arten von Daten:

  • Karteninhaberdaten (CHD): Dazu gehören die primäre Kontonummer (PAN), der Name des Karteninhabers, das Ablaufdatum und der Sicherheitscode.
  • Sensible Authentifizierungsdaten (SAD): Dazu gehören vollständige Magnetstreifendaten, CAV2/CVC2/CVV2/CID und PINs/PIN-Blöcke. Diese Daten dürfen nach der Autorisierung niemals gespeichert werden.

Wer muss PCI-konform sein?

Wenn Ihre App oder Ihr Unternehmen Kreditkarteninformationen akzeptiert, verarbeitet, speichert oder überträgt, müssen Sie PCI-konform sein. Dies gilt für alle Händler, Verarbeiter, Acquirer, Emittenten und Dienstleister, die am Zahlungsprozess beteiligt sind. Ob Sie ein E-Commerce-Shop oder ein stationäres Geschäft mit einem Point-of-Sale (POS)-System sind, der Standard gilt. Ein weit verbreitetes Missverständnis ist, dass die Verwendung eines Drittanbieter-Prozessors wie Stripe oder PayPal Ihre Compliance-Pflichten beseitigt. Obwohl diese einen Großteil des Risikos tragen, sind Sie weiterhin dafür verantwortlich, dass Ihre Systeme und Prozesse sicher sind.

Die Gründungs-Zahlungsmarken und der PCI SSC

PCI DSS wurde von den fünf Gründungs-Zahlungsmarken erstellt: Visa, MasterCard, American Express, Discover und JCB. Um den Standard zu verwalten, gründeten sie den PCI Security Standards Council (SSC), eine unabhängige Stelle, die den payment card industry pci standard entwickelt, verwaltet und fördert. Dies ist ein entscheidender Unterschied: Der PCI SSC verwaltet den Standard, aber die einzelnen Zahlungsmarken sind für die Durchsetzung der Compliance verantwortlich.

Die tatsächlichen Kosten der Nichteinhaltung

Die Ignorierung von PCI DSS kann schwerwiegende finanzielle und rufschädigende Folgen haben. Die Kosten gehen weit über eine potenzielle Datenschutzverletzung hinaus. Strafen für die Nichteinhaltung können Folgendes umfassen:

  • Hohe Geldstrafen: Zahlungsmarken können Geldstrafen in Höhe von 5.000 bis 100.000 US-Dollar pro Monat erheben, bis die Compliance erreicht ist.
  • Erhöhte Gebühren: Ihre Acquirer-Bank kann die Transaktionsgebühren erhöhen oder zusätzliche Strafen verhängen.
  • Verlust der Verarbeitungsfähigkeit: In schwerwiegenden Fällen kann Ihr Händlerkonto gekündigt werden, wodurch Sie die Möglichkeit verlieren, Kartenzahlungen vollständig zu akzeptieren.
  • Kosten nach einer Datenschutzverletzung: Wenn eine Datenschutzverletzung auftritt, entstehen Ihnen Kosten für forensische Audits, Anwaltskosten, Kundenbenachrichtigungen und Kreditüberwachungsdienste.

Wenn eine Datenschutzverletzung auftritt, erfordert das daraus resultierende Chaos oft spezialisierte Hilfe, um sich zurechtzufinden. Um die Schritte zur Bewältigung solcher Vorfälle besser zu verstehen, können Sie Corporate Investigations erkunden.

Die 12 Kernanforderungen von PCI DSS: Eine vereinfachte Aufschlüsselung

Auf den ersten Blick kann der Payment Card Industry Data Security Standard (PCI DSS) komplex erscheinen. Seine 12 Kernanforderungen sind jedoch in 6 logische Ziele unterteilt, die oft als "Kontrollziele" bezeichnet werden. Diese Struktur macht den payment card industry pci standard viel leichter zugänglich. Die Ziele liefern das "Warum" hinter den Anforderungen und konzentrieren sich auf wichtige Sicherheitsprinzipien.

Das Verständnis dieses Frameworks ist der erste Schritt zum Aufbau einer konformen Anwendung. Die offizielle Dokumentation des PCI Security Standards Council (PCI SSC) beschreibt diese Ziele, die darauf abzielen, eine ganzheitliche Sicherheitsposition zu schaffen. Nachfolgend finden Sie eine kurze Übersicht, gefolgt von einer Aufschlüsselung der wichtigsten Anforderungen.

Kontrollziel (Ziel) Kernanforderungen
1. Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme 1. Installieren und warten Sie Netzwerksicherheitskontrollen.
2. Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an.
2. Schutz von Kontodaten 3. Schützen Sie gespeicherte Kontodaten.
4. Schützen Sie Karteninhaberdaten während der Übertragung mit starker Kryptografie.
3. Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen 5. Schützen Sie alle Systeme und Netzwerke vor bösartiger Software.
6. Entwickeln und pflegen Sie sichere Systeme und Software.
4. Implementierung starker Zugriffskontrollmaßnahmen 7. Beschränken Sie den Zugriff nach dem geschäftlichen Need-to-know-Prinzip.
8. Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff.
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
5. Regelmäßige Überwachung und Prüfung von Netzwerken 10. Protokollieren und überwachen Sie jeden Zugriff auf Systemkomponenten und Karteninhaberdaten.
11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken.
6. Aufrechterhaltung einer Informationssicherheitsrichtlinie 12. Unterstützen Sie die Informationssicherheit mit Organisationsrichtlinien und -programmen.

Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme

Dieses grundlegende Ziel konzentriert sich auf die Schaffung eines sicheren Perimeters zum Schutz der Karteninhaberdaten-Umgebung (CDE). Anforderung 1 schreibt die Verwendung von Firewalls und anderen Netzwerksicherheitskontrollen zur Verwaltung des Datenverkehrs vor. Anforderung 2 stellt sicher, dass Sie keine vom Anbieter bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden, sondern stattdessen gehärtete, sichere Konfigurationen auf alle Systemkomponenten anwenden.

Schutz von Kontodaten

Wenn eine Datenschutzverletzung auftritt, zielt dieses Ziel darauf ab, alle gestohlenen Daten für Angreifer unbrauchbar zu machen. Anforderung 3 konzentriert sich auf den Schutz gespeicherter Daten durch Methoden wie starke Verschlüsselung, Trunkierung oder Maskierung, um sicherzustellen, dass sensible Authentifizierungsdaten nach der Autorisierung niemals gespeichert werden. Anforderung 4 schreibt die Verwendung starker Kryptografie und Sicherheitsprotokolle (wie TLS) vor, um Karteninhaberdaten während der Übertragung über offene, öffentliche Netzwerke zu schützen.

Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen

Sicherheit ist ein fortlaufender Prozess, keine einmalige Einrichtung. Dieses Ziel befasst sich mit dem Bedarf an kontinuierlicher Wachsamkeit. Anforderung 5 fordert den Schutz aller Systeme vor Malware durch die Bereitstellung und regelmäßige Aktualisierung von Antivirensoftware. Bei Anforderung 6 geht es darum, Sicherheit in den Entwicklungszyklus einzubauen, sicherzustellen, dass Anwendungen sicher entwickelt werden und dass Systeme zeitnahe Sicherheitsupdates erhalten, um sie vor neuen Bedrohungen zu schützen.

Implementierung starker Zugriffskontrollmaßnahmen

Dieses Ziel soll sicherstellen, dass nur autorisierte Personen auf sensible Daten zugreifen können. Anforderung 7 setzt das Prinzip des "Need-to-know" durch und beschränkt den Zugriff auf Karteninhaberdaten nur auf diejenigen, deren Aufgabe dies erfordert. Anforderung 8 stellt sicher, dass jede Person mit Zugriff eine eindeutige ID zur Rechenschaftspflicht hat. Schließlich befasst sich Anforderung 9 mit der physischen Sicherheit und beschränkt den Zugriff auf Server, Computer oder Ausdrucke, die Karteninhaberdaten enthalten.

Verständnis der PCI-Compliance-Level und -Validierungsmethoden

Die Navigation im payment card industry pci standard beinhaltet das Verständnis, dass nicht alle Unternehmen der gleichen Kontrolle unterliegen. Ihre spezifischen Compliance-Anforderungen werden durch Ihr jährliches Transaktionsvolumen bestimmt. Die großen Kartenmarken (Visa, Mastercard usw.) kategorisieren Händler in vier verschiedene Level, die jeweils eine eigene Methode zur Validierung der Compliance haben.

Die vier Händler-Level erklärt

Ihr Händler-Level bestimmt die Validierung, die Sie abschließen müssen, um nachzuweisen, dass Sie konform sind. Diese Level sind im Allgemeinen bei den großen Kartenmarken einheitlich:

  • Level 1: Für Händler, die jährlich über 6 Millionen Kartentransaktionen verarbeiten. Dies ist das strengste Level, das den höchsten Grad an Validierung erfordert.
  • Level 2: Für Händler, die jährlich zwischen 1 und 6 Millionen Transaktionen verarbeiten.
  • Level 3: Für Händler, die jährlich 20.000 bis 1 Million E-Commerce-Transaktionen verarbeiten.
  • Level 4: Für Händler, die weniger als 20.000 E-Commerce-Transaktionen oder bis zu 1 Million Gesamtransaktionen pro Jahr verarbeiten. Dies ist das häufigste Level für kleine und mittlere Unternehmen (KMU).

Validierung: Self-Assessment Questionnaires (SAQs)

Für Händler in den Leveln 2, 3 und 4 ist das wichtigste Validierungstool der Self-Assessment Questionnaire (SAQ). Dies ist ein Bericht, in dem Sie Ihren Compliance-Status bestätigen. Der spezifische SAQ, den Sie ausfüllen müssen, hängt davon ab, wie Ihre App und Ihr Unternehmen Karteninhaberdaten verarbeiten – von SAQ A (für diejenigen, die die Zahlungsabwicklung vollständig auslagern) bis SAQ D (für komplexere Umgebungen). Alle offiziellen Formulare und Anleitungen finden Sie in der PCI Security Standards Council Document Library. Nach dem Ausfüllen wird der SAQ zusammen mit einer Attestation of Compliance (AoC) bei Ihrer Acquirer-Bank eingereicht.

Validierung: Report on Compliance (RoC) und ASV-Scans

Händler des Levels 1 müssen sich einem strengeren Prozess unterziehen. Anstelle eines SAQ müssen sie einen Report on Compliance (RoC) einreichen. Dies ist ein formelles, externes Audit, das vor Ort von einem Qualified Security Assessor (QSA) durchgeführt wird, der jeden Aspekt des payment card industry pci standard in Ihrer Umgebung validiert. Darüber hinaus muss jeder Händler mit externen IP-Adressen (einschließlich der meisten Apps und E-Commerce-Sites) vierteljährliche Netzwerk-Schwachstellen-Scans durchführen, die von einem Approved Scanning Vendor (ASV) durchgeführt werden, um Sicherheitslücken zu identifizieren und zu beheben.

Die entscheidende Rolle von Sicherheitstests bei der PCI-Compliance (Anforderungen 6 & 11)

Das Erreichen der PCI DSS-Compliance ist keine einmalige Einrichtung, sondern eine fortlaufende Verpflichtung zur Sicherheit. Der Kern dieser Verpflichtung liegt darin, Schwachstellen proaktiv zu finden und zu beheben, bevor Angreifer sie ausnutzen können. Die Anforderungen 6 und 11 des payment card industry pci standard machen Sicherheit von einer theoretischen Übung zu einem praktischen, kontinuierlichen Prozess, indem sie vorschreiben, dass Sie Ihre Abwehrmaßnahmen regelmäßig testen und alle entdeckten Schwächen beheben.

Anforderung 6: Sichere Entwicklung und Schwachstellen-Patching

Sichere Systeme beginnen mit sicherem Code. Diese Anforderung schreibt vor, dass Entwickler geschult werden, um häufige und kritische Programmierschwachstellen zu vermeiden (z. B. Injection-Flaws, Broken Access Control). Sie verlangt auch, dass Sie kritische Sicherheitspatches rechtzeitig identifizieren und anwenden. Die Verwendung automatisierter Scanner frühzeitig im Entwicklungszyklus hilft Entwicklern, Fehler zu erkennen und zu beheben, bevor sie die Produktion erreichen, wodurch die Grundlage Ihrer Anwendung erheblich gestärkt wird. Für Unternehmen, die Hilfe bei der Erstellung sicherer Anwendungen von Grund auf benötigen, können Sie mehr darüber lesen, wie die kundenspezifische Softwareentwicklung diese Herausforderungen bewältigen kann.

Anforderung 11: Schwachstellen-Scans und Penetration Testing

Regelmäßige Tests sind unerlässlich, um neue Risiken zu erkennen. Anforderung 11 formalisiert dies mit einem strengen Zeitplan für Sicherheitsbewertungen:

  • Vierteljährliche interne und externe Scans: Sie müssen alle drei Monate nach Schwachstellen in Ihrem Netzwerk und auf Ihren externen, mit dem Internet verbundenen Systemen suchen. Externe Scans müssen von einem Approved Scanning Vendor (ASV) durchgeführt werden, um gültig zu sein.
  • Penetration Testing: Mindestens einmal jährlich und nach jeder wesentlichen Systemänderung müssen Sie Penetrationstests durchführen. Dabei wird ein realer Angriff simuliert, um die Widerstandsfähigkeit Ihrer Segmentierungs- und Anwendungsschichten zu testen.

Über vierteljährliche Scans hinaus: Das Plädoyer für kontinuierliche Überwachung

Während vierteljährliche Scans den Mindeststandard erfüllen, bieten sie nur eine Momentaufnahme. Böswillige Akteure warten nicht auf Ihren nächsten geplanten Scan; Hunderte neuer Schwachstellen können in den 90 Tagen zwischen den Tests auftreten, wodurch Sie exponiert werden. Moderne Sicherheitsbest Practices befürworten kontinuierliche, automatisierte Scans, um diese Lücke zu schließen. Dieser Ansatz bietet Echtzeit-Einblick in Ihre Sicherheitslage, sodass Sie Bedrohungen erkennen können, sobald sie auftreten. Automatisieren Sie Ihre Sicherheitstests, um die PCI-Compliance zu vereinfachen.

So erreichen und erhalten Sie PCI-Compliance: Ein 5-Schritte-Plan

Das Erreichen der Compliance mit dem payment card industry pci standard mag entmutigend erscheinen, aber es wird überschaubar, wenn es in einen klaren Plan aufgeschlüsselt wird. Dies ist kein einmaliges Projekt, sondern ein kontinuierlicher Zyklus aus Bewertung, Behebung und Validierung. Befolgen Sie diese fünf Schritte, um eine starke und nachhaltige Compliance-Position für Ihre Anwendung aufzubauen.

Schritt 1 & 2: Umfassen Sie Ihre Umgebung und führen Sie eine Gap-Analyse durch

Identifizieren Sie zunächst alle Systeme, Netzwerke und Anwendungskomponenten, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Dies ist Ihre Cardholder Data Environment (CDE). Ein entscheidender erster Schritt ist die Minimierung dieses Umfangs mithilfe von Techniken wie Netzwerksegmentierung oder Payment Tokenization. Eine kleinere CDE bedeutet weniger Komplexität und niedrigere Auditkosten. Sobald Sie den Umfang festgelegt haben, führen Sie eine Gap-Analyse durch, indem Sie Ihre aktuellen Kontrollen anhand der 12 PCI DSS-Anforderungen messen und den entsprechenden Self-Assessment Questionnaire (SAQ) als Leitfaden verwenden.

Schritt 3: Beheben und beheben Sie Schwachstellen

Ihre Gap-Analyse zeigt Bereiche auf, in denen Ihre Sicherheitskontrollen zu kurz greifen. Erstellen Sie einen priorisierten Behebungsplan, um diese Ergebnisse zu beheben, wobei Sie zuerst kritische und risikoreiche Schwachstellen angehen. Dies kann das Patchen von Systemen, das Neukonfigurieren von Firewalls, das Implementieren stärkerer Zugriffskontrollen oder das Aktualisieren von Verschlüsselungsprotokollen umfassen. Es ist wichtig, jede ergriffene Maßnahme zu dokumentieren, da diese Dokumentation als Nachweis während Ihrer formellen Validierung dient.

Schritt 4 & 5: Schließen Sie die Validierung ab und erhalten Sie die Compliance

Nachdem die Schwachstellen behoben wurden, ist es Zeit für die formelle Validierung. Für die meisten Unternehmen umfasst dies das Ausfüllen des relevanten SAQ und einer Attestation of Compliance (AOC). Größere Händler benötigen möglicherweise ein formelles Audit durch einen Qualified Security Assessor (QSA), das zu einem Report on Compliance (RoC) führt. Senden Sie nach Abschluss diese Dokumentation an Ihre Acquirer-Bank.

Denken Sie daran, dass Compliance eine kontinuierliche Anstrengung ist. Die Aufrechterhaltung erfordert ein fortlaufendes Sicherheitsprogramm, das Folgendes umfasst:

Viele Unternehmen stellen fest, dass die Integration der PCI DSS-Anforderungen in ein breiteres Qualitätsmanagement-Framework, wie z. B. ISO 9001, dazu beiträgt, diese laufenden Bemühungen zu rationalisieren. Für diejenigen, die an diesem ganzheitlichen Ansatz interessiert sind, können Sie mehr über Align Quality erfahren.

Diese Verpflichtung zum Schutz und zum Vertrauen der Benutzer geht oft über die Datensicherheit hinaus. Viele Unternehmen priorisieren auch die digitale Barrierefreiheit, um sicherzustellen, dass ihre Dienste für alle nutzbar sind, einschließlich Menschen mit Behinderungen. Dieser breitere Ansatz zur Compliance kann durch spezialisierte Dienste wie Helplee unterstützt werden, die Unternehmen dabei helfen, Barrierefreiheitsstandards zu erfüllen.

  • Regelmäßige Netzwerk-Schwachstellen-Scans durch einen Approved Scanning Vendor (ASV).
  • Kontinuierliche Überwachung von Sicherheitskontrollen und Protokollen.
  • Jährliche Risikobewertungen zur Identifizierung neuer Bedrohungen.
  • Laufende Sensibilisierungsschulungen zum Thema Sicherheit für alle relevanten Mitarbeiter.

Die Etablierung dieses Zyklus stellt sicher, dass sich Ihre Abwehrmaßnahmen mit der Bedrohungslandschaft weiterentwickeln und Sie mit dem payment card industry pci standard übereinstimmen. Für kompetente Hilfe bei der Identifizierung und Verwaltung von Schwachstellen sollten Sie eine Partnerschaft mit einem Sicherheitsspezialisten für Dienste wie kontinuierliche Penetrationstests in Betracht ziehen.

Vereinfachen Sie Ihren Weg zu dauerhafter PCI-Compliance

Die Navigation in der Welt von PCI DSS muss keine entmutigende jährliche Übung sein. Wie wir untersucht haben, liegt der Kern der Compliance im Verständnis, dass es sich um eine kontinuierliche Verpflichtung zur Sicherheit handelt, nicht nur um ein einmaliges Audit. Die wichtigsten Erkenntnisse sind klar: Die Beherrschung der 12 Anforderungen und die Akzeptanz fortlaufender Sicherheitstests sind grundlegend für den Schutz von Karteninhaberdaten. Die Einhaltung des payment card industry pci standard ist eine kritische Maßnahme, um das Vertrauen der Kunden aufzubauen und Ihr Unternehmen vor kostspieligen Datenschutzverletzungen zu schützen.

Viele Unternehmen haben Schwierigkeiten, die strengen Anforderungen der Anforderungen 6 und 11 zu erfüllen. Hier können moderne Tools Ihren Ansatz verändern. Penetrify bietet kontinuierliche, KI-gestützte Schwachstellen-Scans, die automatisch die OWASP Top 10 und andere kritische Fehler in Ihren Systemen erkennen. Diese proaktive Methode ist deutlich schneller und kostengünstiger als traditionelle Penetrationstests und verwandelt die Compliance von einem periodischen Durcheinander in einen optimierten, automatisierten Prozess.

Sind Sie bereit, von Compliance-Stress zu Sicherheitsvertrauen überzugehen? Erfahren Sie, wie die kontinuierlichen Scans von Penetrify die PCI-Compliance vereinfachen. Machen Sie noch heute den ersten Schritt zu einer sichereren und widerstandsfähigeren Zahlungsumgebung.

Häufig gestellte Fragen

Was ist der Unterschied zwischen PCI DSS und PA-DSS?

Stellen Sie sich PCI DSS (Payment Card Industry Data Security Standard) als das Regelwerk für jede Organisation vor, die Karteninhaberdaten speichert, verarbeitet oder überträgt. Es gilt für Händler und Dienstleister. PA-DSS (Payment Application Data Security Standard) hingegen war eine Reihe von Anforderungen für Softwareanbieter, die Zahlungsanwendungen entwickeln. Es stellte sicher, dass ihre Software keine sensiblen Daten speicherte und die Bemühungen der Händler zur PCI DSS-Compliance unterstützte. PA-DSS wurde nun durch das PCI Software Security Framework (SSF) ersetzt.

Wenn ich Stripe oder PayPal verwende, bin ich dann automatisch PCI-konform?

Nein, die Verwendung eines Drittanbieter-Zahlungsabwicklers wie Stripe oder PayPal macht Sie nicht automatisch konform. Obwohl diese Dienste Ihren PCI-Umfang erheblich reduzieren, indem sie Karteninhaberdaten direkt verarbeiten, sind Sie weiterhin für Ihre Seite der Transaktion verantwortlich. Dazu gehört das sichere Konfigurieren Ihrer Website, das Schützen Ihrer Admin-Portale mit starken Passwörtern und das Ausfüllen des entsprechenden Self-Assessment Questionnaire (SAQ). Ihre Compliance-Belastung ist geringer, aber sie besteht weiterhin.

Was ist ein Approved Scanning Vendor (ASV) und benötige ich einen?

Ein Approved Scanning Vendor (ASV) ist ein Unternehmen, das vom PCI Security Standards Council zertifiziert wurde, um externe Schwachstellen-Scans auf Ihren Systemen durchzuführen. Sie benötigen einen ASV, wenn Ihre PCI DSS-Validierung vierteljährliche externe Netzwerk-Scans erfordert, was für Händler mit externen IP-Adressen in ihrer Karteninhaberdaten-Umgebung üblich ist. Dies ist eine obligatorische Anforderung für bestimmte Self-Assessment Questionnaires (z. B. SAQ A-EP, SAQ D) und alle Reports on Compliance (ROC).

Wie oft muss ich PCI-Schwachstellen-Scans durchführen?

Externe Schwachstellen-Scans, die von einem ASV durchgeführt werden, müssen mindestens alle 90 Tage (vierteljährlich) durchgeführt werden. Darüber hinaus müssen Sie einen neuen Scan nach allen wesentlichen Änderungen an Ihrem Netzwerk durchführen, z. B. beim Hinzufügen eines neuen Servers, beim Ändern von Firewall-Regeln oder beim Aktualisieren von Systemkomponenten. Interne Schwachstellen-Scans, die Sie selbst mit einem qualifizierten Tool oder Mitarbeiter durchführen können, sollten ebenfalls vierteljährlich und nach allen wesentlichen internen Netzwerkänderungen durchgeführt werden.

Gilt PCI DSS auch für Cloud-Umgebungen wie AWS, Azure oder GCP?

Ja, PCI DSS gilt uneingeschränkt auch für Cloud-Umgebungen. Cloud-Anbieter wie AWS, Azure und GCP arbeiten nach einem Modell der gemeinsamen Verantwortung. Der Anbieter ist für die Sicherung der zugrunde liegenden Infrastruktur (der "Cloud") verantwortlich, aber Sie, der Kunde, sind für die Sicherung aller Dinge verantwortlich, die Sie erstellen und "in die Cloud" stellen. Dazu gehören Ihre Anwendungen, Betriebssysteme, Netzwerkkonfigurationen und Zugriffsverwaltung. Sie müssen sicherstellen, dass Ihre Cloud-Bereitstellung konform konfiguriert und verwaltet wird.

Was ist eine Cardholder Data Environment (CDE)?

Die Cardholder Data Environment (CDE) umfasst alle Personen, Prozesse und Technologien, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Ein wichtiges Ziel des payment card industry pci standard ist die ordnungsgemäße Segmentierung der CDE vom Rest Ihres Netzwerks. Durch die Isolierung dieser kritischen Systeme können Sie den Umfang Ihrer PCI DSS-Bewertung reduzieren, wodurch es einfacher und kostengünstiger wird, sensible Zahlungsinformationen zu schützen und die Compliance zu erreichen.

Wie hat PCI DSS v4.0 die Anforderungen geändert?

PCI DSS v4.0 führt bedeutende Aktualisierungen ein, um auf sich entwickelnde Sicherheitsbedrohungen zu reagieren. Zu den wichtigsten Änderungen gehört der "angepasste Ansatz", der es Unternehmen ermöglicht, Sicherheitsziele mithilfe innovativer Methoden zu erreichen, wenn sie eine Anforderung nicht wie geschrieben erfüllen können. Er schreibt auch stärkere Kennwort- und Multi-Faktor-Authentifizierungsanforderungen (MFA) für jeden Zugriff auf die CDE vor und legt einen größeren Schwerpunkt auf die kontinuierliche Sicherheitsüberwachung. Als neuer payment card industry pci standard ist v4.0 auf mehr Flexibilität und Sicherheit ausgelegt.

Back to Blog