Die PCI-DSS-Compliance-Checkliste ist kein statisches Dokument, sondern ein kontinuierlicher Prozess, der jährlich und bei jeder wesentlichen Infrastrukturänderung erneuert werden muss. Für Händler und KMU bedeutet das Verwalten dieser Checkliste Zeit, Ressourcen und technisches Know-how. Der praktischste Ansatz ist nicht, alle 250+ Anforderungen zu erfüllen, sondern den Scope durch Tokenisierung zu reduzieren und sich auf die wirklich notwendigen Kontrollen zu konzentrieren.
8 Schlüsselpunkte der PCI-DSS-Compliance-Checkliste
Die praktische Checkliste für Händler, die Kartenzahlungen akzeptieren:
- Scope-Definition: Identifizieren Sie alle Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen (CDE). Dokumentieren Sie Netzwerkdiagramme und Datenflussmapping.
- SAQ-Bestimmung: Ermitteln Sie gemeinsam mit Ihrem Acquirer, welches Self-Assessment Questionnaire für Ihren Zahlungskanal und Ihre Integrationsarchitektur gilt (SAQ A, A-EP, B, C, D).
- Schwachstellenscans: Wenn Ihr SAQ es erfordert, vierteljährliche ASV-Scans (Approved Scanning Vendor) für alle externen IPs im Scope durchführen.
- Penetrationstests: Für Level-2-Händler und höher: jährliche Penetrationstests für CDE-Perimeter und Anwendungen, die Zahlungsdaten verarbeiten.
- Zugangskontrolle: Einführung von MFA (Multi-Faktor-Authentifizierung) für alle Zugriffe auf die CDE. Implementierung eines „Least Privilege"-Prinzips.
- Protokollverwaltung: Aktivierung von Auditprotokollen für alle Zugriffe auf CDE-Systeme. Protokollaufbewahrung für mindestens 12 Monate, davon 3 Monate sofort verfügbar.
- Verschlüsselung: Verschlüsselung von Karteninhaberdaten bei der Übertragung (TLS 1.2 oder höher) und im Ruhezustand für gespeicherte Daten.
- Incident-Response-Plan: Dokumentieren und jährlich testen Sie den Notfallplan für Sicherheitsvorfälle mit Kartendaten, einschließlich Benachrichtigungsverfahren für Acquirer und zuständige Behörden.
Wie Tokenisierung 90 % dieser Checkliste eliminiert
Für Händler, die PCI Proxy EU integrieren, vereinfacht sich die Checkliste erheblich. Da keine PAN in den Händlersystemen vorhanden ist, entfallen die meisten CDE-spezifischen Anforderungen: keine Netzwerksegmentierung, keine ASV-Scans für Zahlungssysteme, keine CDE-spezifischen Penetrationstests. Der Händler qualifiziert sich typischerweise für SAQ A, das nur einen Bruchteil der Anforderungen von SAQ D hat.
Die verbleibenden Pflichten konzentrieren sich auf die Website-Sicherheit (HTTPS, keine bösartigen Skripte auf Checkout-Seiten), die physische Sicherheit des Händlerstandorts und grundlegende Zugangskontrolle für administrative Systeme. Dies sind Kontrollen, die ein Unternehmen jeder Größe mit den normalen IT-Managementprozessen verwalten kann, ohne spezialisierte PCI-Experten einzustellen.
PCI DSS v4 Neuigkeiten in der Checkliste
PCI DSS v4.0, das 2024 vollständig in Kraft getreten ist, hat mehrere neue Anforderungen eingeführt, die die Checkliste beeinflussen. Die wichtigsten für E-Commerce-Händler:
- Anforderung 6.4.3: Alle JavaScript-Skripte auf Zahlungsseiten müssen genehmigt und auf Manipulationen überwacht werden. Dies betrifft SAQ-A-Händler, die externe Skripte (Analytics, Chat, Werbung) auf Seiten mit Zahlungsformularen laden.
- Anforderung 11.6.1: Neue Überwachungsanforderungen für nicht autorisierte Änderungen auf Zahlungsseiten, die Händler effektiv zwingen, Monitoring-Lösungen für clientseitigen Code zu implementieren.
- Anforderung 8.4.2: MFA nun für alle Zugriffe auf die CDE erforderlich, einschließlich interner Zugriffe, nicht nur externer.
Häufig gestellte Fragen
Wie oft muss die PCI-DSS-Checkliste aktualisiert werden?
Die formale PCI-DSS-Bewertung (SAQ oder QSA-Audit) muss mindestens einmal pro Jahr erneuert werden. Schwachstellenscans müssen vierteljährlich durchgeführt werden, wenn dies von Ihrem SAQ verlangt wird. Penetrationstests sind jährlich oder nach wesentlichen Infrastrukturänderungen erforderlich. Unabhängig von diesen formalen Terminen muss die interne Dokumentation bei jeder wesentlichen Änderung der Zahlungsinfrastruktur aktualisiert werden.
Kann ich das SAQ selbst ausfüllen?
Ja. Das SAQ ist ein Selbstbewertungsinstrument: Es gibt kein Gesetz, das die Einbeziehung eines externen Beraters vorschreibt. In der Praxis empfehlen wir, die erste SAQ mit Unterstützung eines PCI-Beraters oder -Beraterunternehmens auszufüllen, um sicherzustellen, dass die Klassifizierung korrekt ist. In den Folgejahren kann das SAQ intern mit dem gleichen Verfahren aktualisiert werden.
Was passiert, wenn ich das SAQ nicht einreiche?
Die SAQ-Einreichungspflicht ist vertraglich vereinbart zwischen dem Händler und dem Acquirer. Wenn Sie die Compliance-Dokumentation nicht einreichen, riskieren Sie, dass der Acquirer Sie in eine höhere Gebührenkategorie einstuft, und in schwerwiegenden Fällen kann er die Fähigkeit zur Kartenakzeptanz einschränken oder aussetzen. Acquirer können auch monatliche Nicht-Compliance-Gebühren erheben.
Vereinfachen Sie Ihre PCI-DSS-Checkliste mit Tokenisierung: SAQ A, minimaler Perimeter, maximale Sicherheit. Entdecken Sie PCI Proxy EU.