PCI-DSS-Compliance-Stufen
PCI DSS hat vier Händlerstufen, die sich nach der Anzahl der jährlich verarbeiteten Kartentransaktionen richten. Hier erfahren Sie, was jede Stufe bedeutet, was sie erfordert – und wie Tokenisierung Ihre Validierung auf jeder Stufe einfach hält.
Ihre Stufe hängt vom Volumen ab – nicht von Ihrem Einsatz
Kartenmarken und Acquirer weisen Ihnen eine Stufe auf Basis Ihres jährlichen Transaktionsvolumens je Marke zu. Je höher das Volumen, desto strenger die Validierung. Ein Sicherheitsvorfall kann jeden Händler direkt auf Stufe 1 hochstufen.
Volumenabhängig
Ihre jährliche Transaktionszahl je Kartenmarke bestimmt Ihre Stufe – zugewiesen von Ihrem Acquirer.
Unterschiedliche Validierung
Stufe 1 erfordert ein externes Audit; Stufe 2–4 bewertet sich in der Regel selbst mit einem Fragebogen.
Vorfall erhöht die Stufe
Ein Sicherheitsvorfall kann jeden Händler unabhängig von der Größe auf Stufe-1-Berichterstattung hochstufen.
PCI-DSS-Händlerstufen im Überblick
| Stufe | Jährliches Transaktionsvolumen | Typische Validierung |
|---|---|---|
| Stufe 1 | Über ca. 6 Mio. Transaktionen/Jahr (oder jeder Händler nach einem Sicherheitsvorfall) | Jährlicher Compliance-Bericht (QSA) + vierteljährliche ASV-Scans |
| Stufe 2 | Ca. 1–6 Mio. Transaktionen/Jahr | Jährlicher Selbstbewertungsfragebogen + vierteljährliche Scans |
| Stufe 3 | Ca. 20.000–1 Mio. E-Commerce-Transaktionen/Jahr | Jährlicher Selbstbewertungsfragebogen + vierteljährliche Scans |
| Stufe 4 | Unter ca. 20.000 E-Commerce / bis zu 1 Mio. andere Transaktionen/Jahr | Jährlicher Selbstbewertungsfragebogen (Scans soweit anwendbar) |
Indikative Schwellenwerte – genaue Werte variieren je nach Kartennetzwerk. Bestätigen Sie Ihre Stufe mit Ihrer Acquiring-Bank.
Ihre Stufe bleibt – Ihr Aufwand schrumpft
Tokenisierung ändert nicht die Stufe, die Ihr Volumen Ihnen zuweist, transformiert aber den Umfang Ihrer Validierung. Wenn Kartendaten Ihre Systeme nie berühren, qualifizieren die meisten Händler für SAQ A – den kürzesten Fragebogen – auf jeder Stufe. PCI Proxy ist selbst ein PCI-DSS-Level-1-Vault, sodass Sie den schwersten Teil übernehmen lassen können.
PCI-DSS-Stufen – Antworten
01 Was sind die PCI-DSS-Compliance-Stufen?
PCI DSS definiert vier Händlerstufen auf Basis des jährlichen Kartentransaktionsvolumens. Stufe 1 ist die größte (grob über 6 Millionen Transaktionen pro Jahr oder jeder Händler nach einem Sicherheitsvorfall), Stufe 2 umfasst ca. 1–6 Millionen, Stufe 3 etwa 20.000–1 Million E-Commerce-Transaktionen und Stufe 4 alle darunter. Höhere Stufen erfordern eine strengere Validierung.
02 Wie erkenne ich, welcher PCI-Stufe ich angehöre?
Ihre Stufe wird von Ihrem Acquirer oder den Kartenmarken anhand Ihres jährlichen Transaktionsvolumens je Marke festgelegt. Die genauen Schwellenwerte variieren leicht je nach Kartennetzwerk – bestätigen Sie Ihre Stufe daher mit Ihrer Acquiring-Bank. Das Volumen ist der Haupttreiber, und ein Sicherheitsvorfall kann jeden Händler auf Stufe 1 hochstufen.
03 Was muss jede PCI-Stufe erfüllen?
Stufe-1-Händler benötigen einen jährlichen Compliance-Bericht eines qualifizierten Sicherheitsgutachters (QSA) sowie vierteljährliche Scans. Die Stufen 2–4 füllen in der Regel einen Selbstbewertungsfragebogen aus und führen, sofern Kartendaten verarbeitet werden, vierteljährliche Scans durch. Je weniger Kartendaten Sie berühren, desto kürzer der Fragebogen.
04 Ändert Tokenisierung meine PCI-Stufe?
Tokenisierung ändert nicht die Stufe, die Ihr Volumen Ihnen zuweist, reduziert aber erheblich, was Sie validieren müssen. Da Kartendaten Ihre Systeme nie berühren, qualifizieren die meisten Händler für den deutlich kürzeren SAQ A – unabhängig von der Stufe – was die Compliance bei jedem Volumen erheblich vereinfacht.
PCI auf jeder Stufe vereinfachen
Schildern Sie uns Ihr Volumen und wie Sie Karten handhaben, und wir zeigen Ihnen, wie Tokenisierung Ihre Validierung auf SAQ A hält.