Die Reduzierung des PCI-DSS-Scopes ist das primäre strategische Ziel für jedes Unternehmen, das Kartenzahlungen akzeptiert und Compliance-Kosten und -Aufwand minimieren möchte. Der Scope definiert, welche Systeme, Personen und Prozesse PCI-DSS-Kontrollen unterliegen: Je kleiner der Scope, desto weniger Anforderungen zu erfüllen, desto geringer die Compliance-Kosten. Tokenisierung ist die wirkungsvollste Methode zur Scope-Reduzierung, weil sie das Problem an der Wurzel angeht: Kartendaten verlassen nie die Systeme des Händlers.
Was den PCI-DSS-Scope definiert
Der PCI-DSS-Scope umfasst alle Systeme, Personen, Prozesse und Technologien, die Karteninhaberdaten (CHD) speichern, verarbeiten oder übertragen, sowie alle verbundenen Systeme und alle Systeme, die von diesen Systemen abhängen. Das bedeutet: Nicht nur die Datenbank mit gespeicherten Kartennummern ist im Scope, sondern auch der Anwendungsserver, der Netzwerkschalter, der den Datenverkehr weiterleitet, das Sicherheitsüberwachungssystem mit Agent auf diesen Servern und jedes externe Dienst-Tool, das Zugang zu dieser Infrastruktur hat.
Der Scope wächst organisch mit der IT-Komplexität: Jede neue Integration, jeder neue Dienst, jeder neue Mitarbeiter mit Zugang zu Zahlungssystemen erweitert potenziell die Grenze. Ohne proaktives Scope-Management können auch Unternehmen mit geringem Transaktionsvolumen am Ende mit einer sehr ausgedehnten CDE konfrontiert werden, die erhebliche Compliance-Kosten nach sich zieht.
Wie Tokenisierung den Scope reduziert: Der Mechanismus
Der Scope-Reduktionsmechanismus durch Tokenisierung ist konzeptionell einfach: Wenn keine PAN in den Systemen eines Händlers vorhanden ist, fallen diese Systeme nicht in die CDE-Definition und sind daher nicht PCI-DSS-Scope. Mit PCI Proxy EU werden Kartendaten auf der Seite oder dem SDK des Anbieters erfasst, in seinem zertifizierten Vault gespeichert und nur ein wertloser Token an den Händler zurückgegeben. Das Back-End des Händlers empfängt den Token, die Datenbank speichert den Token, Protokolle protokollieren den Token – niemals die PAN.
Praktisch ergibt sich folgendes: Die Web-Server des Händlers, die Back-End-Datenbank, Protokollierungssysteme, Monitoring-Tools und alle anderen Infrastrukturkomponenten, die zuvor im Scope gewesen wären, verlassen die CDE. Das gesamte Compliance-Last verbleibt nur beim PCI Proxy EU Vault, der PCI DSS Level 1 zertifiziert ist. Der Händler nutzt den zertifizierten Perimeter des Anbieters, ohne ihn intern warten zu müssen.
Von SAQ D zu SAQ A: der konkrete Compliance-Vorteil
Die konkrete Auswirkung der Scope-Reduzierung ist der Übergang von einem anspruchsvollen SAQ D (mit über 200 Kontrollen) zu einem einfachen SAQ A (mit etwa 20 Kontrollen). SAQ D ist für Händler, die vollständig im Scope sind: es erfordert Netzwerksegmentierungsdokumentation, Penetrationstests, ASV-Scans, MFA-Richtlinien für alle CDE-Zugriffe, Sicherheitsbewusstseinsprogramme und vierteljährliche interne Schwachstellenscans. SAQ A ist für Händler, die Kartendaten vollständig an einen zertifizierten Anbieter ausgelagert haben: Es erfordert nur grundlegende Sicherheitspraktiken für die Website und die Bestätigung, dass keine Kartendaten die Systeme des Händlers passieren.
Dieser Übergang entspricht einer Reduzierung der jährlichen Compliance-Kosten von potenziell 100.000 bis 300.000 Euro (für SAQ D mit externem Audit) auf einige tausend Euro (für SAQ A mit Selbstbewertung). Für KMU kann dies den Unterschied zwischen nachhaltiger und nicht nachhaltiger Compliance ausmachen.
Häufig gestellte Fragen
Eliminiert Tokenisierung alle PCI-DSS-Pflichten?
Nein, aber es reduziert sie erheblich. Auch mit Tokenisierung bleiben einige Verpflichtungen bestehen: Sicherheit der Website (kein bösartiger Code auf Checkout-Seiten), HTTPS, grundlegende physische Sicherheit. Was verschwindet, ist der aufwändige Teil: CDE-Management, ASV-Scans, Penetrationstests, MFA-Richtlinien für Zahlungssysteme, CDE-spezifische Zugangskontrolldokumentation. Das Ergebnis ist SAQ A – der einfachste verfügbare Compliance-Rahmen.
Wie bestätige ich, dass mein Scope korrekt reduziert wurde?
Die Bestätigung erfolgt durch das SAQ, das Sie nach der Integration der Tokenisierungslösung ausfüllen. Es ist ratsam, das SAQ mit Ihrem Acquirer zu besprechen, um sicherzustellen, dass die gewählte Architektur SAQ A zulässt. In einigen Fällen kann ein QSA (Qualified Security Assessor) eine Überprüfung durchführen, um zu bestätigen, dass keine PAN die Systeme des Händlers durchläuft – dies gibt Sicherheit bei der Einstufung.
Gilt SAQ A auch für wiederkehrende Zahlungen und Card-on-File?
Ja, wenn Kartendaten vollständig vom PCI Proxy EU Vault verwaltet werden. Auch für wiederkehrende Zahlungen speichert der Händler nur den Token: Wenn er eine Folgetransaktion initiiert, fordert er den Vault auf, die PAN zu verarbeiten. Da der Händler die PAN nie sieht oder speichert, bleibt sein Scope SAQ A. Es ist wichtig zu bestätigen, dass auch Protokolle und Anwendungscode die PAN nicht absichtlich oder versehentlich zwischenspeichern.
Möchten Sie Ihren PCI-Scope von SAQ D auf SAQ A reduzieren? Entdecken Sie PCI Proxy EU.