PCI DSS-Outsourcing ist eine häufig missverstandene Option: Viele Händler glauben, dass sie durch die Nutzung eines PSP oder einer Tokenisierungsplattform jede PCI-Verantwortung vollständig delegieren. Dies ist nicht richtig. PCI DSS kann nie vollständig ausgelagert werden: Es gibt einen residualen Verantwortungsbereich, der immer beim Händler verbleibt, unabhängig davon, wie viel er an externe Partner delegiert. Das Verständnis der Grenze zwischen dem, was delegiert werden kann, und dem, was verbleibt, ist entscheidend für eine informierte Entscheidung.
Was wirklich an einen zertifizierten Anbieter delegiert werden kann
Durch die Integration eines PCI DSS Level 1 zertifizierten Tokenisierungsdienstes wie PCI Proxy EU kann ein Händler folgendes effektiv delegieren:
- Kartendatenspeicherung: PANs werden im zertifizierten Vault gespeichert, nicht auf Händlersystemen. Anforderung 3 (Schutz gespeicherter Kartendaten) ist vollständig delegiert.
- Kryptografisches Schlüsselmanagement: Verschlüsselungsschlüssel, HSM-Management und Schlüsselrotation liegen in der Verantwortung des Vault-Anbieters.
- Sichere Kartendatenübertragung: Anforderung 4 (Verschlüsselung bei der Übertragung) ist für den Kartendatenfluss durch den Vault abgedeckt.
- Physische Sicherheit des Vault: Das Rechenzentrum, die HSM-Geräte und die physische Zugangskontrolle liegen in der Verantwortung des Anbieters.
- PCI-Audit des Vault: Der jährliche Level 1-Audit für die Vault-Infrastruktur wird vom Anbieter durchgeführt und dokumentiert in der AOC.
Was immer die Verantwortung des Händlers bleibt
Selbst mit vollständig ausgelagerter Kartendatenspeicherung verbleiben folgende Pflichten beim Händler:
- Verwaltung des Restscopes: Systeme, die mit dem Vault kommunizieren (Merchant-Server, Checkout-Page, API-Keys) sind immer noch Teil des PCI-Scopes und müssen entsprechend gesichert werden.
- Zugriffskontrollen und IAM: Anforderung 7 und 8 (Zugang auf "Need to Know" beschränken, Benutzeridentitäten verwalten) gelten für alle Systeme im Scope.
- Vulnerability Management: Anforderung 6 (Sichere Systeme und Anwendungen entwickeln und pflegen) gilt für alle Systeme, die Token verwalten oder mit dem Vault kommunizieren.
- Richtlinien und Verfahren: Anforderung 12 (Sicherheitsrichtlinien pflegen) muss vom Händler implementiert und dokumentiert werden.
- Incident Response: Im Falle einer Datenpanne ist der Händler verpflichtet, den Vorfall zu melden und zu untersuchen, auch wenn die Kompromittierung andere Systeme als den Vault betraf.
- SAQ-Einreichung: Die jährliche Compliance-Selbstbewertung bleibt die Pflicht des Händlers.
Die richtige Outsourcing-Strategie: Scope minimal halten
Das Ziel des PCI DSS-Outsourcings ist nicht die vollständige Beseitigung der Compliance-Last, sondern deren Minimierung auf ein vertretbares und verwaltbares Niveau. Mit PCI Proxy EU kann ein Händler seinen Scope auf SAQ A reduzieren – 22 Anforderungen statt über 300 –, was die Compliance von einem mehrmona tigen Audit-Prozess in einen einfachen jährlichen administrativen Check verwandelt.
Um eine effektive Outsourcing-Strategie zu implementieren, sind drei Schritte erforderlich: (1) Identifizierung aller aktuellen Kartendatenflüsse im Unternehmen; (2) Migration aller Kartenerfassungsflüsse zur PCI Proxy EU-Lösung; (3) Dokumentation des verbleibenden Scopes und Einreichung des SAQ A beim Acquirer. Das Ergebnis ist ein System, in dem die meisten der schwierigen PCI-Anforderungen durch den Vault-Anbieter verwaltet werden und der Händler einen minimalem Restperimeter kontrolliert.
Häufig gestellte Fragen
Kann ich sagen "wir sind PCI-konform, weil wir PCI Proxy EU nutzen"?
Nicht vollständig. Die korrekte Aussage ist: "Wir haben unseren PCI-Scope durch die Nutzung von PCI Proxy EU, einem Level 1 zertifizierten Dienst, erheblich reduziert. Für den verbleibenden Scope haben wir ein SAQ A eingereicht und die erforderlichen Kontrollen implementiert." Die Compliance ist gemeinsam: PCI Proxy EU deckt die Vault-Komponente ab, der Händler deckt den Restscope ab.
Wer ist im Falle einer Datenpanne bei PCI Proxy EU verantwortlich?
PCI Proxy EU hat vertragliche und regulatorische Verantwortung für die Sicherheit der in seinem Vault gespeicherten Daten. Im Falle einer Datenpanne, die den Vault betrifft, initiiert PCI Proxy EU den Incident-Response-Prozess, benachrichtigt betroffene Händler und koordiniert mit Netzwerken und Behörden. Der Händler behält seine DSGVO-Meldepflichten gegenüber den Datenschutzbehörden für die ihn betreffenden personenbezogenen Daten.
Wie zeige ich dem Acquirer, dass ich PCI-konform bin, nachdem ich PCI Proxy EU integriert habe?
Nach der Integration erhalten Sie von PCI Proxy EU eine AOC (Attestation of Compliance), die Sie dem Acquirer vorlegen können. Ergänzend dazu reichen Sie ein SAQ A (oder A-EP) ein, das Ihren verbleibenden Scope dokumentiert. Die Kombination aus AOC des Dienstes und eigenem SAQ ist die Standarddokumentation für Acquirer, die PCI-Konformität für Händler überprüfen, die tokenisierte Zahlungen nutzen.
Möchten Sie Ihren PCI DSS-Scope outsourcen und auf SAQ A reduzieren? Entdecken Sie PCI Proxy EU.