PCI DSS as a Service ist eines der am weitesten verbreiteten Compliance-Modelle in Europa, aber auch eines der am meisten missverstandenen. Viele Händler denken, dass die Delegation der Compliance an einen Anbieter die gesamte Verantwortung überträgt. Die Realität ist anders: Einige PCI DSS-Verantwortlichkeiten verbleiben immer rechtlich beim Händler, unabhängig davon, wie viele Komponenten ausgelagert werden. Zu wissen, wo diese Grenze genau liegt, ist unerlässlich, um Überraschungen bei einem Audit oder nach einer Datenpanne zu vermeiden.
Was PCI DSS as a Service ist und was es tatsächlich abdeckt
PCI DSS-Outsourcing im technischen Sinne bedeutet die Delegation des Managements der CDE (Cardholder Data Environment) an einen PCI DSS Level 1 zertifizierten Anbieter. Der Anbieter übernimmt die Verantwortung für alle technischen und organisatorischen Kontrollen, die seinen Perimeter betreffen: Verschlüsselung von Kartendaten, kryptografisches Schlüsselmanagement mit einem zertifizierten HSM, Sicherheitsüberwachung, Penetrationstests, Sicherheitsupdates und Dokumentation für das jährliche Audit. Der Händler muss diese Komponenten nicht selbst zertifizieren: Die Zertifizierung des Anbieters deckt diesen Teil der Infrastruktur ab.
Mit Tokenisierung als Service in Europa schrumpft der PCI-Perimeter des Händlers dramatisch. Geschäftssysteme empfangen nur Tokens, keine PANs, und verlassen damit den PCI-Perimeter für Komponenten, die keine Kartendaten verarbeiten. Dies ermöglicht es dem Händler, ein SAQ A statt eines vollständigen Report on Compliance abzuschließen, mit Zeit- und Kosteneinsparungen, die in der Praxis Zehntausende von Euro pro Jahr bedeuten. Der Anbieter verwaltet auch Updates auf die aktuelle Version des Standards (derzeit PCI DSS v4) und stellt sicher, dass der delegierte Perimeter immer konform bleibt.
Was Sie nie delegieren können: die Restverantwortung des Händlers
Selbst beim vollständigsten As-a-Service-Modell verbleiben einige Verantwortlichkeiten immer beim Händler. Benutzerzugriffsverwaltung auf eigene Systeme, interne Sicherheitsrichtlinien, Schulung des Personals zu Sicherheitsrisiken, Überwachung eigener Anwendungsprotokolle und Management von Sicherheitsvorfällen, die die eigene Infrastruktur betreffen (auch wenn sie keine Kartendaten enthält), sind allesamt Bereiche, die nicht an einen externen Anbieter delegiert werden können.
Im Falle einer Datenpanne, die Kartendaten betrifft, die vom Anbieter gehalten werden, verbleibt die vertragliche und rechtliche Haftung gegenüber Endkunden beim Händler als Verantwortlichem gemäß DSGVO. Der Anbieter haftet für seinen Teil, aber der Händler kann sich nicht von der Verantwortung gegenüber seinen Kunden befreien. Deshalb müssen Verträge mit PCI DSS-Anbietern klare Klauseln zu Haftung, Meldungen bei Datenpannen und Versicherungsgarantien enthalten.
Kostenvergleich: Eigenregie vs. PCI DSS as a Service
Ein Händler, der seine eigene CDE intern verwaltet, steht vor erheblichen fixen und variablen Kosten. Auf der fixen Seite: dedizierte Infrastruktur (Server, HSM, zertifizierte Firewalls), spezialisiertes Sicherheitspersonal (mindestens ein Vollzeit-Sicherheitsingenieur), jährliches QSA-Audit (zwischen 30.000 und 80.000 € für Level 1), halbjährliche Penetrationstests (von 5.000 bis 20.000 € pro Einsatz). Auf der variablen Seite: Sanierungskosten für jeden bei Audits gefundenen Mangel, Infrastrukturaktualisierungen aufgrund neuer Standardanforderungen.
Beim As-a-Service-Modell reduziert sich der Aufwand auf eine monatliche oder transaktionsbasierte Gebühr, die mit dem Volumen skaliert. Das Audit des eigenen reduzierten Perimeters (typischerweise ein SAQ A) erfordert einige Stunden interner Arbeit statt Wochen. Es gibt keine zu verwaltende Infrastruktur, kein spezialisiertes Personal einzustellen und keine Sanierungskosten für den delegierten Perimeter. Für die meisten europäischen Unternehmen mit weniger als 6 Millionen jährlichen Transaktionen wird die Gewinnschwelle gegenüber der Eigenregie im ersten Nutzungsmonat erreicht.
Häufig gestellte Fragen
Muss ich mit PCI DSS as a Service noch das SAQ ausfüllen?
Ja, aber auf viel einfachere Weise. Bei einem durch Tokenisierung reduzierten Scope können die meisten Händler ein SAQ A ausfüllen, das der kürzeste und am wenigsten anspruchsvolle Fragebogen ist, der anwendbar ist, wenn keine Kartendaten durch die Systeme des Händlers fließen. Die Fertigstellung dauert einige Stunden statt der Wochen, die komplexere SAQs erfordern.
Funktioniert das As-a-Service-Modell auch für Level 1-Händler?
Ja. Selbst ein Level 1-Händler kann seinen Perimeter durch Delegation der CDE erheblich reduzieren. Das Audit bleibt obligatorisch (RoC mit QSA), aber der zu prüfende Perimeter ist viel kleiner. Viele Level 1-Händler verwenden das As-a-Service-Modell gerade um das jährliche Audit zu vereinfachen und die Kosten zu reduzieren.
Wie lange dauert die Aktivierung des Dienstes?
Die technische Integration von PCI Proxy EU dauert für ein Team mit REST-API-Erfahrung typischerweise 3–10 Werktage. Der Prozess umfasst die Unterzeichnung des Vertrags, den Zugang zur Sandbox zum Testen, die Produktionsintegration und die funktionale Überprüfung. Es ist keine zusätzliche Infrastruktur vom Händler erforderlich.
Möchten Sie den technischen Teil der PCI DSS-Compliance delegieren und nur die Verantwortlichkeiten behalten, die rechtlich beim Händler verbleiben? Entdecken Sie PCI Proxy EU.