Die effektivste Methode zur Reduzierung der PCI DSS-Compliance-Kosten ist nicht die Optimierung bestehender Kontrollen, sondern die Reduzierung des Scopes. Weniger Systeme im Scope bedeuten weniger Kontrollen, weniger Pen-Test-Kosten, weniger Schwachstellenscans und einfachere SAQs. Diese 3-Schritte-Strategie ist der praktische Weg: Zuerst verstehen, was sich in der CDE befindet, dann die Kartendatenflüsse tokenisieren und schließlich jeden unnötigen PAN-Kontakt eliminieren.
Warum der Scope wichtiger ist als die Kontrollen
Viele Unternehmen nähern sich PCI DSS als Liste von Sicherheitsprüfungen, die es zu bestehen gilt, und versuchen, jede Kontrolle so effizient wie möglich zu implementieren. Das ist der falsche Ansatz. Der richtige Ansatz ist die Frage: Wie viele Systeme müssen wir in diesem Jahr überhaupt Prüfen?
Jedes System in der CDE hat Compliance-Kosten: Schwachstellenscans, Penetrationstests, Patch-Management, Zugriffskontrolle, Protokollierung, Überwachung. Ein System weniger in der CDE spart Compliance-Kosten proportional. Zehn Systeme weniger spart in der Summe möglicherweise mehr als die Kosten der Tokenisierungslösung, die diese Reduzierung ermöglicht.
Schritt 1: Die CDE vollständig kartieren
Bevor man den Scope reduzieren kann, muss man wissen, was sich darin befindet. Viele Unternehmen unterschätzen ihre eigene CDE: Systeme, die scheinbar keine Kartendaten berühren, sind oft durch Netzwerkkonnektivität in den Scope hineingezogen.
Die vollständige CDE-Kartierung umfasst:
- Alle PAN-Datenflusse verfolgen: Wo tritt die Karte in das System ein? Wo geht sie hin? Wo wird sie gespeichert? Wird sie in E-Mails, Logs, Backups oder CRM übertragen?
- Alle verbundenen Systeme identifizieren: Welche Server kommunizieren mit Systemen, die PANs verarbeiten? Auch wenn sie selbst keine Kartendaten berühren, könnten sie in die CDE fallen.
- Alle Kanäle einschließen: Online, Telefon, physische Terminals, Wiederholungszahlungen, Rückerstattungsflüsse – alle müssen kartiert sein.
Das Ergebnis dieser Kartierung ist oft überraschend: Systeme, die niemand für CDE-relevant hielt, sind es durch indirekte Konnektivität. Und umgekehrt gibt es Systeme, die leicht aus der CDE herausgenommen werden könnten, wenn der Datenfluss leicht modifiziert würde.
Schritt 2: Kartendatenflüsse tokenisieren
Mit der CDE-Karte in der Hand identifiziert man die Einstiegspunkte, an denen PANs in das System eintreten: das Zahlungsformular im E-Commerce, die Kartenerfassung im Call-Center, die manuelle Eingabe in Backoffice-Systemen.
Tokenisierung ersetzt die PAN an jedem Einstiegspunkt durch einen Token: Der PAN wird im Vault des PCI DSS-zertifizierten Anbieters gespeichert, und alle internen Systeme erhalten nur den Token. Der Token hat keine Kreditkartennummer-Bedeutung: Er kann nicht zur Autorisierung einer Transaktion verwendet werden und enthüllt nichts über die ursprüngliche Karte.
Nach der Tokenisierung verlassen alle nachgelagerten Systeme (CRM, ERP, Buchhaltung, Datenbankserver, analytische Plattformen) die CDE. Nur die Tokenisierungsschicht (die bereits durch die PCI DSS Level-1-Zertifizierung des Anbieters abgedeckt ist) verbleibt im Scope.
Schritt 3: Jeden unnötigen PAN-Kontakt eliminieren
Nach der Tokenisierung der Hauptflüsse überprüft man die Restfälle: Gibt es noch Prozesse, die PANs berühren? Häufige Restfälle:
- Protokolle und Logs: Systeme protokollieren manchmal versehentlich PANs in Fehler- oder Debugging-Logs. Diese müssen identifiziert und bereinigt werden.
- E-Mail-Kommunikation: Einige Workflows senden Transaktionsbestätigungen mit vollständiger Kartennummer per E-Mail. Diese müssen auf Token oder maskierte Nummern umgestellt werden.
- Backup-Systeme: Wenn alte Datenbanksicherungen PANs enthalten, muss man entscheiden, ob man sie bereinigt oder Backup-Systeme in die CDE einbezieht.
- Legacy-Integrationen: Alte API-Integrationen mit externen Anbietern senden manchmal PANs in Feldern, die eigentlich Token enthalten sollten. Diese müssen aktualisiert werden.
Häufig gestellte Fragen
Wie lange dauert eine PCI DSS Scope-Reduzierung?
Die Dauer hängt von der Komplexität der bestehenden Systeme ab. Für einen einfachen E-Commerce-Händler mit einer einzigen Zahlungsintegration kann die Tokenisierung in 2–4 Wochen implementiert werden. Für einen Händler mit mehreren Kanälen (Online, Telefon, physisch), Legacy-Systemen und komplexen Backend-Integrationen können 3–6 Monate realistisch sein. Die Scope-Reduzierung ist eine Investition mit messbarem ROI: Die Einsparungen bei den jährlichen Compliance-Kosten amortisieren die Implementierungskosten typischerweise in 1–2 Jahren.
Wer bestätigt, dass der reduzierte Scope korrekt ist?
Der Acquirer oder QSA (Qualified Security Assessor) ist die Instanz, die den Scope validiert. Bei der Jahresbewertung überprüft der QSA (oder bei SAQ die interne Bewertungsabteilung), ob die dokumentierte CDE vollständig und korrekt ist. Es ist wichtig, die CDE-Reduzierung mit dem Acquirer vor der Bewertung zu kommunizieren und sicherzustellen, dass die neue Scoping-Dokumentation vollständig und nachvollziehbar ist.
Bereit, Ihren PCI DSS Scope systematisch zu reduzieren? PCI Proxy EU entdecken und mit einem Experten sprechen.