PCI DSS Compliance

PCI DSS Compliance ohne internes Audit

PCI Proxy EU lagert den schwierigsten Teil des PCI DSS aus: die Verwaltung der Karteninhaber-Datenumgebung. Sie erhalten ein SAQ A statt eines SAQ D und sparen Zeit, Kosten und Risiken.

Compliance-Analyse anfordern Sicherheitsdetails
PCI DSS v4.0

Was PCI DSS 4.0 tatsächlich erfordert

PCI DSS 4.0 umfasst 12 Kernanforderungen, die in sechs Kategorien eingeteilt sind. Je weniger Systeme Kartendaten berühren, desto weniger Anforderungen gelten für Sie.

Netzwerksicherheit

Sichere Netzwerkkonfigurationen, Firewall-Regeln und Segmentierung der Karteninhaber-Datenumgebung von anderen Netzen.

Anforderungen 1–2

Schutz der Karteninhaberdaten

Verschlüsselung gespeicherter Kartendaten, Minimierung der Datenspeicherung und gesicherter Datentransport über offene Netze.

Anforderungen 3–4

Schwachstellenverwaltung

Regelmäßige Updates und Patches für alle Systeme, Malware-Schutz und Verwendung sicherer Entwicklungsverfahren.

Anforderungen 5–6

Zugangskontrolle

Individuelle Benutzer-IDs, Prinzip der minimalen Rechtevergabe und physische Zugangsbeschränkungen zu Systemen mit Kartendaten.

Anforderungen 7–9

Überwachung & Tests

Vollständige Protokollierung aller Zugriffe auf Kartendaten, regelmäßige Netzwerkscans und jährliche Penetrationstests.

Anforderungen 10–11

Sicherheitsrichtlinie

Dokumentierte Informationssicherheitsrichtlinie, regelmäßige Mitarbeiterschulungen und ein Programm zur Risikobewertung.

Anforderung 12

Der Schlüssel zur Vereinfachung: Kartendaten, die Ihre Infrastruktur nie berühren, fallen nicht unter Ihren PCI-Scope. Mit PCI Proxy EU tokenisieren wir Kartennummern, bevor sie Ihre Server erreichen – das reduziert Ihre anwendbaren Anforderungen drastisch.

Level 1

PCI DSS Stufe 1 zertifiziert

Höchste Zertifizierungsstufe

300+

Anforderungen in PCI DSS v4.0

SAQ D ohne Tokenisierung

95%

Reduzierung des PCI-Umfangs

Von SAQ D zu SAQ A

SAQ A

SAQ-Einstufung

Mit PCI Proxy EU

Scope-Analyse

PCI DSS-Umfang: Was Händler oft übersehen

Viele Händler unterschätzen, wie weit ihr PCI-Scope reicht. Nicht nur Systeme, die Kartendaten direkt speichern, sind im Scope – auch alle Systeme, die mit diesen kommunizieren oder sie beeinflussen können.

Das bedeutet: Webserver, Anwendungsserver, Datenbanken, Netzwerkgeräte, Protokollierungssysteme und sogar Mitarbeiterlaptops können in den Scope fallen – wenn Kartendaten durch Ihre Infrastruktur fließen.

Wie PCI Proxy Ihren Scope reduziert
Was in Ihren PCI-Scope fällt

Systeme mit Kartendaten

Alle Server, die PANs speichern, verarbeiten oder übertragen – einschließlich Backupsysteme.

Verbundene Netzwerke

Alle Netzwerksegmente, die direkt mit der Karteninhaber-Datenumgebung kommunizieren können.

Administrative Zugriffssysteme

Verwaltungssysteme und Geräte, von denen aus auf in-scope Systeme zugegriffen wird.

Mit PCI Proxy: minimaler Scope

Kartendaten verlassen unseren Vault nie. Ihre Infrastruktur verarbeitet nur Tokens – und bleibt damit außerhalb des CDE-Scopes.

Compliance-Weg

Der Compliance-Weg mit PCI Proxy EU

In drei Schritten vom vollen PCI-Scope zur vereinfachten SAQ-A-Einstufung – ohne Ihren Zahlungsfluss zu unterbrechen.

Schritt 1

Händler integriert

Sie binden unsere Hosted Fields oder unsere API in Ihren Checkout ein. Die Integration ist in wenigen Tagen abgeschlossen und unterbricht keinen bestehenden Zahlungsfluss.

Hosted Fields oder API
Schritt 2

Token ersetzt PAN

PCI Proxy EU empfängt die Kartendaten direkt vom Karteninhaber, tokenisiert sie sofort und gibt Ihnen einen sicheren Token zurück. Die primäre Kontonummer (PAN) erreicht Ihre Server nie.

Tokenisierung in Echtzeit
Schritt 3

Händler qualifiziert sich für SAQ A

Da keine Kartendaten Ihre Infrastruktur berühren, fällt Ihr PCI-Scope auf ein Minimum. Sie qualifizieren sich für den SAQ A mit nur 22 Anforderungen statt 300+.

22 statt 300+ Anforderungen

Typischer Zeitrahmen: Die meisten Händler schließen die Integration in 1–2 Wochen ab. Die PCI-Scope-Reduzierung gilt sofort nach der ersten Transaktion über PCI Proxy EU.

Jetzt starten
SAQ-Vergleich

SAQ-Typen im Vergleich

Der SAQ-Typ, für den Sie sich qualifizieren, hängt davon ab, wie Kartendaten durch Ihre Systeme fließen. Mit PCI Proxy EU wählen Sie den einfachsten Weg.

Merkmal SAQ A EMPFOHLEN SAQ A-EP SAQ D Ohne Proxy SAQ D Mit Proxy
Anzahl Anforderungen 22 ~30 300+ 300+
Kartendaten auf Ihren Servern Nein Nein Ja Nein
Vollständige externe Prüfung Nicht erforderlich Vereinfacht Jährlich (teuer) Reduziert
Zahlungsfelder gehostet von PCI Proxy EU Eigene Seite Eigene Seite Eigene Seite
Geeignet für Hosted Fields API / JS-Integration Ohne externen Service Komplexe Architekturen
Empfohlene Einstufung

Warum SAQ A wichtig ist

SAQ A ist die einfachste Form der PCI-DSS-Selbstbewertung. Sie gilt für Händler, die alle Kartendatenverarbeitungsvorgänge vollständig an einen PCI-DSS-Level-1-zertifizierten Anbieter ausgelagert haben.

Mit nur 22 Anforderungen statt 300+ bei SAQ D verbringen Sie einen Bruchteil der Zeit mit Compliance-Dokumentation. Ihr Sicherheitsteam kann sich auf das Wesentliche konzentrieren – statt auf PCI-Bürokratie.

  • Kein jährliches On-Site-Audit erforderlich
  • Keine dedizierten PCI-Compliance-Ingenieure nötig
  • Vereinfachte Dokumentations- und Nachweispflichten
  • Geringeres Haftungsrisiko bei Datenpannen

Mit PCI Proxy EU

22

SAQ-A-Anforderungen

statt 300+ bei SAQ D

7% des SAQ-D-Umfangs

Wer qualifiziert sich für SAQ A?

Händler, die Kartendaten vollständig an einen PCI-DSS-Level-1-zertifizierten Anbieter auslagern und keine Kartendaten auf eigenen Systemen speichern, verarbeiten oder übertragen.

Restzuständigkeiten

Was in Ihrer Verantwortung bleibt

PCI Proxy EU übernimmt den schwierigsten Teil. Einige grundlegende Sicherheitspflichten verbleiben bei Ihnen – sie sind jedoch einfach zu erfüllen.

HTTPS und TLS auf Ihrer Website

Ihre öffentlich zugängliche Website muss HTTPS mit aktuellen TLS-Protokollen (1.2 oder höher) verwenden. Das gilt auch dann, wenn die Zahlungsfelder von uns gehostet werden.

Zugangskontrolle zu Ihrer Verwaltungskonsole

Schützen Sie den Administratorzugang zu Ihren internen Systemen mit starken Passwörtern, Zwei-Faktor-Authentifizierung und dem Prinzip minimaler Rechtevergabe.

Incident-Response-Plan

Sie benötigen einen dokumentierten Plan für den Umgang mit Sicherheitsvorfällen – auch wenn Kartendaten bei uns liegen. Wer informiert wen, und in welchem Zeitrahmen?

Mitarbeiterschulungen

Regelmäßige Schulungen zu Phishing, Social Engineering und sicherem Umgang mit Kundendaten sind für alle Mitarbeitenden mit Datenzugang Pflicht.

Jährliche Pflichten

Was jedes Jahr erforderlich ist

Auch mit PCI Proxy EU gibt es jährliche Compliance-Aufgaben. Mit SAQ A sind diese minimal – kein Vergleich zum Aufwand einer vollständigen SAQ-D-Prüfung.

SAQ-Fragebogen

Jährliche Selbstbewertung. Mit SAQ A: 22 Fragen, online ausgefüllt in wenigen Stunden.

Jährlich

ASV-Scans

Externe Schwachstellenscans durch einen zugelassenen Scanning Vendor. Bei SAQ A häufig vereinfacht oder entfällt.

Quartalsmäßig

Penetrationstest

Jährlicher Eindringtest Ihrer externen Angriffsfläche. Umfang stark reduziert, wenn keine Kartendaten in Ihrer Infrastruktur.

Jährlich (empfohlen)

Richtlinienüberprüfung

Jährliche Aktualisierung und Überprüfung Ihrer Informationssicherheitsrichtlinien sowie Schulungsnachweis für Mitarbeitende.

Jährlich

Kontinuierliche Compliance

Laufende Verpflichtungen

PCI DSS ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Mit PCI Proxy EU ist dieser Prozess deutlich schlanker als ohne.

Compliance-Kalender

Jan

01

SAQ-Verlängerung

Jährliche Selbstbewertung einreichen und beim Acquirer bestätigen lassen.

Q1–Q4

Quartalsmäßige Scans

Externe ASV-Scans je nach Acquirer-Anforderung – bei SAQ A oft entfallend.

Lfd.

Laufende Überwachung

Protokolle prüfen, Zugangsrechte kontrollieren und Sicherheitsvorfälle verfolgen.

Jährl.

Richtlinienüberprüfung

Sicherheitsrichtlinien jährlich aktualisieren und Schulungszyklen dokumentieren.

Dokumentationspflichten

  • Informationssicherheitsrichtlinie
  • Netzwerk- und Datenflusskarten
  • Inventar aller in-scope Systeme
  • Zugriffsprotokollierung und -kontrolle
  • Incident-Response-Plan

Schulungsanforderungen

  • Jährliche Sicherheitsschulung für alle Mitarbeitenden
  • Phishing- und Social-Engineering-Sensibilisierung
  • Einführungsschulung für neue Mitarbeitende
  • Dokumentierter Schulungsnachweis

Mit PCI Proxy EU: Wir übernehmen alle Compliance-Aufgaben rund um die Kartendatenspeicherung. Ihre verbleibenden Aufgaben beschränken sich auf grundlegende Sicherheitshygiene – kein dediziertes PCI-Team erforderlich.

Zertifizierungen

Zertifizierungen & Vertrauen

Unsere Infrastruktur wird jährlich von unabhängigen Prüfern auditiert. Sie erben unsere Zertifizierung – Kartendaten bleiben in unserem Vault.

Level 1

PCI DSS zertifiziert

Höchste Zertifizierungsstufe

100%

EU-Datenresidenz

Kartendaten verlassen die EU nie

Jährlich

QSA-Prüfung

Unabhängige externe Auditoren

AES-256 + HSM

Verschlüsselungsstandard

FIPS 140-2 Level 3 Schlüsselverwaltung

Bereit, Ihren PCI DSS-Umfang zu reduzieren?

Kontaktieren Sie uns für eine kostenlose Compliance-Analyse. Wir helfen Ihnen zu verstehen, wie PCI Proxy EU Ihren PCI-Scope, Ihre Audit-Last und Ihre Compliance-Kosten reduziert.

Compliance-Analyse anfordern Tokenisierung verstehen So funktioniert es