Jetzt starten  Sales-Team kontaktieren 
Jetzt starten  Sales-Team kontaktieren 

PCI DSS-Checkliste für Unternehmen: So erfüllen Sie die Compliance-Standards

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. Was bedeutet PCI DSS-Compliance?
  3. Was beinhaltet die PCI DSS-Compliance-Checkliste?
    1. 1. Firewalls installieren und warten
    2. 2. Standardpasswörter und -einstellungen vermeiden
    3. 3. Gespeicherte Karteninhaberdaten schützen
    4. 4. Daten während der Übertragung verschlüsseln
    5. 5. Vor Malware schützen
    6. 6. Systeme und -Anwendungen patchen
    7. 7. Datenzugriff nach Rollen beschränken
    8. 8. Nutzer/innen eindeutig authentifizieren
    9. 9. Physischen Zugriff kontrollieren
    10. 10. Zugriff verfolgen und überwachen
    11. 11. Sicherheit regelmäßig testen
    12. 12. Sicherheitsrichtlinien einhalten und Mitarbeitende schulen
  4. So überwachen und testen Sie Netzwerke auf PCI-Konformität
    1. Protokollierung und Überwachung
    2. Schwachstellen-Scans
    3. Penetrationstests
    4. Kontinuierliche Validierung
  5. Wie können Unternehmen eine sichere Umgebung für Karteninhaberdaten aufrechterhalten?
    1. Umfang definieren und maximieren
    2. Nichts speichern, was Sie nicht benötigen
    3. Tokenisieren und verschlüsseln
    4. Ihr Netzwerk segmentieren
    5. Zugriff beschränken und überwachen
  6. Mit welchen Maßnahmen sollten Sie sich auf die PCI DSS-Compliance vorbereiten?
    1. Umfang
    2. Bestandsaufnahme
    3. Lückenanalyse
    4. Validierungsweg
    5. Zeitplan und Rollen
  7. So stellen Sie die PCI DSS-Compliance langfristig sicher
    1. Wiederkehrende Überprüfungen planen
    2. Wiederholte Schulungen durchführen
    3. Lieferanten beobachten
    4. Bereit sein, zu reagieren
  8. So kann Stripe Payments Sie unterstützen
  9. Jetzt mit Stripe starten 

Der Schutz von Zahlungsdaten Ihrer Kundinnen und Kunden dient dem Aufbau von Vertrauen und der Aufrechterhaltung eines effektiven Geschäftsbetriebs. Die durchschnittlichen globalen Kosten für Datenschutzverletzungen beliefen sich im Jahr 2024 auf 4,88 Millionen US-Dollar. Daher ist die Einhaltung hoher Standards von großer Bedeutung.

Die Checkliste zum Payment Card Industry Data Security Standard (PCI DSS) verwandelt einen einschüchternden Standard in klare Schritte, die jedes Unternehmen befolgen kann, um die Daten von Karteninhaberinnen und -inhabern zu schützen. Im Folgenden erläutern wir, was die Checkliste erfordert und wie Sie die Compliance langfristig aufrechterhalten können.

Worum geht es in diesem Artikel?

  • Was bedeutet PCI DSS-Compliance?
  • Was beinhaltet die PCI DSS-Compliance-Checkliste?
  • So überwachen und testen Sie Netzwerke auf PCI-Konformität
  • Wie können Unternehmen eine sichere Umgebung für Karteninhaberdaten aufrechterhalten?
  • Mit welchen Maßnahmen sollten Sie sich auf die PCI DSS-Compliance vorbereiten?
  • So stellen Sie die PCI DSS-Compliance langfristig sicher
  • So kann Stripe Payments Sie unterstützen

Was bedeutet PCI DSS-Compliance?

Der PCI DSS ist ein Regelwerk zum Schutz von Kredit- und Debitkartendaten. Er wurde im Jahr 2004 von American Express, Discover, JCB, Mastercard und Visa ins Leben gerufen, um Betrug und Sicherheitsverletzungen zu minimieren. Heute ist er der grundlegende Sicherheitsstandard für alle Unternehmen, die Kartendaten speichern, verarbeiten oder übertragen.

Die PCI DSS-Compliance ist obligatorisch. Wenn Ihr Unternehmen Kredit- oder Debitkarten akzeptiert, fällt es unter den PCI DSS – unabhängig davon, ob es sich um ein Geschäft mit einem einzigen Standort, ein schnell wachsendes Software-as-a-Service-Unternehmen (SaaS) oder ein globales Unternehmen handelt. Dienstleister, die Kartendaten im Auftrag anderer übertragen oder speichern, müssen ebenfalls die Vorschriften einhalten. Die genauen Meldepflichten unterscheiden sich je nach Ihrem Transaktionsvolumen, aber die Sicherheitsanforderungen gelten für alle.

Der PCI DSS ist kein Gesetz, wird jedoch durch Ihre Verträge mit Banken und Zahlungsabwicklern durchgesetzt. Bei Nichteinhaltung drohen Ihnen Geldstrafen, kostspielige Audits oder Gerichtsverfahren, oder Sie verlieren sogar die Möglichkeit, Kartenzahlungen abzuwickeln.

Was beinhaltet die PCI DSS-Compliance-Checkliste?

Der PCI DSS basiert auf 12 Anforderungen.

1. Firewalls installieren und warten

Ihre erste Verteidigungslinie ist eine gut konfigurierte Firewall, die unerwünschten Datenverkehr blockiert. Überprüfen Sie die Regeln regelmäßig und entfernen Sie alles Unnötige. Nutzerdefinierte Regeln sind wichtig.

2. Standardpasswörter und -einstellungen vermeiden

Geräte und Software werden häufig mit allgemein bekannten Standardeinstellungen ausgeliefert. Ändern Sie diese umgehend, deaktivieren Sie nicht verwendete Konten und beenden Sie nicht benötigte Dienste.

3. Gespeicherte Karteninhaberdaten schützen

Wenn Sie Kartendaten nicht speichern müssen, tun Sie es nicht. Wenn es unvermeidbar ist, verschlüsseln Sie diese mit starken Algorithmen, maskieren oder kürzen Sie sie, wo immer möglich, und verwalten Sie Verschlüsselungsschlüssel sicher. Löschen Sie Daten, wenn sie nicht mehr benötigt werden.

4. Daten während der Übertragung verschlüsseln

Jedes Mal, wenn Kartendaten über offene Netzwerke übertragen werden, müssen sie verschlüsselt werden. Verwenden Sie moderne Protokolle wie Transport Layer Security (TLS) 1.2 oder höher. Ältere Protokolle wie Secure Sockets Layer (SSL) sind weniger effektiv. Versenden Sie Kartennummern niemals per E-Mail oder über unverschlüsselte Kanäle.

5. Vor Malware schützen

Jedes System, das von bösartiger Software befallen werden könnte, benötigt einen Malware-Schutz, der auf dem neuesten Stand gehalten und so konfiguriert ist, dass er automatisch ausgeführt wird. PCI DSS v4.0 geht noch einen Schritt weiter und empfiehlt neben dem herkömmlichen Virenschutz auch den Einsatz fortschrittlicher Erkennungswerkzeuge.

6. Systeme und -Anwendungen patchen

Sicherheitslücken stellen einen Zugangspunkt für Hacker/innen dar. Führen Sie ein aktuelles Inventar Ihrer Ressourcen, abonnieren Sie Sicherheitsbulletins und installieren Sie Patches umgehend. Befolgen Sie sichere Codierungspraktiken, wenn Sie eigene Anwendungen entwickeln.

7. Datenzugriff nach Rollen beschränken

Wenden Sie das Prinzip der geringsten Privilegien an. Nur Mitarbeitende, die wirklich Zugriff auf Kartendaten benötigen, sollten diesen erhalten. Verwenden Sie rollenbasierte Kontrollen, widerrufen Sie den Zugriff umgehend, wenn sich Rollen ändern, und erwägen Sie einen Just-in-Time-Zugriff für sensible Aufgaben.

8. Nutzer/innen eindeutig authentifizieren

Jede Person erhält eine eindeutige ID. Erlauben Sie keine gemeinsamen Anmeldungen. Verlangen Sie starke Passwörter und eine Multi-Faktor-Authentifizierung für alle Zugriffe auf Systeme in der Karteninhaberdatenumgebung (CDE). Dies ist eine feste Anforderung gemäß PCI DSS v4.0.

9. Physischen Zugriff kontrollieren

Schützen Sie die Orte, an denen Kartendaten physisch vorhanden sind: Serverräume, Zahlungsterminals, Papieraufzeichnungen und Backups. Verwenden Sie ID-Ausweise, Türschlösser und Kameraüberwachung. Vernichten Sie Datensätze, die Sie nicht mehr benötigen.

10. Zugriff verfolgen und überwachen

Aktivieren Sie die detaillierte Protokollierung für Systeme, die mit Karteninhaberdaten in Berührung kommen. Zeichnen Sie auf, wer was wann getan hat. Speichern Sie die Protokolle mindestens ein Jahr lang – die letzten drei Monate sollten leicht zugänglich sein – und überprüfen Sie sie regelmäßig auf Unregelmäßigkeiten.

11. Sicherheit regelmäßig testen

Führen Sie vierteljährliche Schwachstellen-Scans durch. Wenn Sie ein Online-Unternehmen betreiben, wählen Sie einen vom PCI Security Standards Council qualifizierten Approved Scanning Vendor. Führen Sie mindestens einmal jährlich Penetrationstests durch. Überprüfen Sie das System intern nach jeder größeren Änderung. Durch Tests können Sie Probleme erkennen, bevor Angreifer sie ausnutzen können, um sich Zugang zu verschaffen.

12. Sicherheitsrichtlinien einhalten und Mitarbeitende schulen

Compliance hängt ebenso sehr von den Menschen wie von den Systemen ab. Legen Sie eine formelle Sicherheitsrichtlinie fest, aktualisieren Sie diese jährlich und schulen Sie Ihre Mitarbeitenden regelmäßig, damit jeder weiß, wie Zahlungsdaten zu schützen sind.

Betrachten Sie Ihre PCI DSS-Compliance-Checkliste als Playbook. Konfigurieren, verschlüsseln, beschränken, überwachen, testen und schulen Sie Ihre Mitarbeitenden und wiederholen Sie dies, wenn Ihr Unternehmen wächst.

So überwachen und testen Sie Netzwerke auf PCI-Konformität

Der PCI DSS verlangt außerdem, dass Sie täglich nachweisen, dass Ihre Kontrollen funktionieren. Dazu gehören Überwachung und Tests.

Protokollierung und Überwachung

Systeme, die mit Karteninhaberdaten in Berührung kommen, müssen detaillierte Protokolle erstellen: Wer hat wann auf was zugegriffen und welche Aktionen wurden durchgeführt? Sie müssen die Protokolle mindestens ein Jahr lang aufbewahren, die letzten drei Monate müssen sofort verfügbar sein. Sie sind auch verpflichtet, die Protokolle zu überprüfen. Viele Unternehmen verwenden automatisierte Warnmeldungen, um verdächtige Aktivitäten zu melden, z. B. wenn sich ein Administratorkonto zu ungewöhnlichen Zeiten anmeldet.

Schwachstellen-Scans

Der PCI DSS schreibt vierteljährliche Schwachstellen-Scans Ihrer mit dem Internet verbundenen Systeme vor, die von einem zugelassenen Scanning-Anbieter durchgeführt werden müssen. Interne Scans sollten ebenfalls geplant werden, insbesondere nach größeren Systemänderungen. Diese Scans suchen nach bekannten Schwachstellen wie veralteter Software und falsch konfigurierten Firewalls, die Angreifer ausnutzen könnten.

Penetrationstests

Führen Sie mindestens einmal pro Jahr Penetrationstests durch. Dabei handelt es sich um simulierte Angriffe, die von Fachleuten durchgeführt werden, die wie Hacker/innen denken. Im Gegensatz zu automatisierten Scans untersuchen Penetrationstests, wie verschiedene Schwachstellen ein echtes Risiko darstellen können. Sie helfen Ihnen, Ihre Umgebung aus der Perspektive eines Angreifers zu betrachten.

Kontinuierliche Validierung

PCI-Konformität bedeutet, einen fortlaufenden Zyklus zu befolgen: Systeme konfigurieren, scannen, Probleme beheben und erneut testen. Der Sinn besteht darin, Probleme zu erkennen, bevor sie zu Sicherheitsverletzungen führen, und zu zeigen, dass Ihre Kontrollen einer genauen Prüfung standhalten.

Wie können Unternehmen eine sichere Umgebung für Karteninhaberdaten aufrechterhalten?

Bei der Sicherung von Karteninhaberdaten geht es darum, eine Umgebung zu schaffen, in der Risiken auf jeder Ebene reduziert werden. Der PCI DSS bezeichnet dies als CDE (Card Data Environment), und um dessen Sicherheit zu gewährleisten, müssen Umfang, Speicherung, Zugriff und Architektur berücksichtigt werden.

So schützen Sie Ihre CDE:

Umfang definieren und maximieren

Ermitteln Sie zunächst genau, wo Kartendaten in Ihren Systemen fließen. Erfassen Sie Anwendungen, Datenbanken, Terminals und Netzwerke, die mit diesen Daten in Berührung kommen oder sie übertragen. Reduzieren Sie dann diesen Umfang: Wenn ein System keine Kartendaten verarbeiten muss, entfernen Sie es aus dem Umfang.

Nichts speichern, was Sie nicht benötigen

Jede gespeicherte Kartendaten ist ein Risiko. Behalten Sie nur das, was Sie benötigen, und richten Sie automatisierte Abläufe ein, um alte Daten zu löschen. Verwenden Sie nach Möglichkeit Maskierung und Trunkierung, damit die Daten selbst dann für Angreifer nutzlos sind, wenn sie auftauchen.

Tokenisieren und verschlüsseln

Wenn Sie Kartennummern verarbeiten müssen, ersetzen Sie diese durch Token, die außerhalb Ihrer Systeme keinen nutzbaren Wert haben. Verschlüsseln Sie die Daten von Karteninhabern sowohl im Ruhezustand als auch während der Übertragung und verwalten Sie die Verschlüsselungsschlüssel mit derselben Sorgfalt, die Sie auch beim Datenschutz anwenden: Beschränken Sie den Zugriff, wechseln Sie die Schlüssel regelmäßig und protokollieren Sie deren Verwendung.

Ihr Netzwerk segmentieren

Halten Sie die CDE vom Rest Ihrer Systeme isoliert. Durch die Netzwerksegmentierung wird sichergestellt, dass Angreifer bei einer Kompromittierung eines Bereichs keinen direkten Zugriff auf Zahlungsdaten erhalten.

Zugriff beschränken und überwachen

Halten Sie die CDE vom Rest Ihrer Systeme isoliert. Durch die Netzwerksegmentierung wird sichergestellt, dass Angreifer bei einer Kompromittierung eines Bereichs keinen direkten Zugriff auf Zahlungsdaten erhalten.

Eine geschützte CDE erfordert regelmäßige Überprüfungen, Aktualisierungen und Tests. Durch die Einschränkung des Umfangs, eine effektive Verschlüsselung und die Begrenzung der Gefährdung können Sie eine Umgebung schaffen, die widerstandsfähig gegen Fehler und Angriffe ist.

Mit welchen Maßnahmen sollten Sie sich auf die PCI DSS-Compliance vorbereiten?

Bevor Sie einen Fragebogen ausfüllen oder ein Audit planen, benötigen Sie ein klares Bild davon, wie Ihr Unternehmen mit Kartendaten umgeht und wo die Risiken liegen. Dadurch wird die PCI DSS-Compliance von einem abstrakten Standard zu einem konkreten Projektplan, dessen Umfang, Nachweise und Verantwortlichkeiten von Anfang an definiert sind.

So bereiten Sie sich vor.

Umfang

Identifizieren Sie alle Systeme, Anwendungen und Netzwerke, die mit Karteninhaberdaten in Berührung kommen. Erstellen Sie ein Datenflussdiagramm, das genau zeigt, wie Karteninformationen durch Ihre Umgebung fließen, vom Einstiegspunkt (z. B. Website, Terminal, App) bis zum Ort, an dem sie verarbeitet oder gespeichert werden. Alles, was mit Kartendaten interagiert, fällt in den Geltungsbereich.

Bestandsaufnahme

Listen Sie alle Hardware, Software und Dienstleister/innen auf, die an Zahlungen beteiligt sind. Dies hilft Ihnen zu verstehen, was gesichert werden muss und wo die Verantwortlichkeiten Dritter ins Spiel kommen.

Lückenanalyse

Vergleichen Sie Ihre aktuellen Kontrollen mit den 12 PCI DSS-Anforderungen. Eine Lückenanalyse deckt fehlende Richtlinien, veraltete Konfigurationen oder nicht gepatchte Systeme auf und liefert Ihnen einen priorisierten Fahrplan für Abhilfemaßnahmen.

Validierungsweg

Unternehmen validieren in der Regel anhand eines Fragebogens zur Selbstbewertung. Große Unternehmen benötigen jedoch häufig einen formellen Compliance-Bericht von einem Qualified Security Assessor. Der von Ihnen gewählte Weg hängt von Ihrem Transaktionsvolumen und der Art und Weise ab, wie Sie Zahlungen verarbeiten.

Zeitplan und Rollen

Planen Sie Zeit für Abhilfemaßnahmen, Dokumentation, Tests und Schulungen ein. Weisen Sie klare Verantwortlichkeiten zu, damit keine Aufgaben übersehen werden.

So stellen Sie die PCI DSS-Compliance langfristig sicher

Compliance ist ein wiederkehrender Zyklus. Langfristige PCI-Konformität bedeutet, dass Sie Sicherheit in Ihre täglichen Abläufe integrieren müssen.

Das bedeutet Folgendes.

Wiederkehrende Überprüfungen planen

Planen Sie vierteljährliche Schwachstellen-Scans, jährliche Penetrationstests, Richtlinienüberprüfungen und regelmäßige Risikobewertungen. Dokumentieren Sie jede Aktivität, damit Sie für Auditoren/Auditorinnen und für Ihre eigene Rechenschaftspflicht einen Papiernachweis haben.

Wiederholte Schulungen durchführen

Menschen sind Teil des Systems. Führen Sie regelmäßig Schulungen zum Thema Sicherheitsbewusstsein durch, damit Ihre Mitarbeitenden wissen, wie sie Kartenskimmer, Phishing-Versuche und Anzeichen von Manipulationen erkennen können. Aktualisieren Sie die Schulungen, wenn sich Standards oder Ihre eigenen Abläufe ändern.

Lieferanten beobachten

Drittanbieter sind häufig Teil Ihres Zahlungsablaufs. Überprüfen Sie regelmäßig deren Compliance-Status und stellen Sie sicher, dass die Verträge Sicherheitsverpflichtungen enthalten.

Bereit sein, zu reagieren

Halten Sie einen Plan für die Reaktion auf Vorfälle bereit: Sie sollten wissen, wen Sie anrufen müssen, wie Sie Systeme isolieren und wie Sie die Beteiligten benachrichtigen. Sie müssen in der Lage sein, schnell zu handeln, wenn etwas schiefgeht.

So kann Stripe Payments Sie unterstützen

Stripe Payments bietet eine einheitliche, globale Zahlungslösung, mit der jedes Unternehmen – von Start-ups bis hin zu globalen Konzernen – Zahlungen online, vor Ort und weltweit akzeptieren kann.

Mit Stripe Payments können Sie Folgendes umsetzen:

  • Bezahlvorgang optimieren: Schaffen Sie ein reibungsloses Kundenerlebnis und sparen Sie Tausende von Entwicklungsstunden mit vorgefertigten Zahlungs-Nutzeroberflächen, Zugang zu über 125 Zahlungsmethoden und Link, einer von Stripe entwickelten Wallet.

  • Neue Märkte schneller erschließen: Erreichen Sie Kundinnen und Kunden weltweit und reduzieren Sie die Komplexität und Kosten der Verwaltung mehrerer Währungen mit grenzüberschreitenden Zahlungsoptionen, die in 195 Ländern und über 135 Währungen verfügbar sind.

  • Online- und Vor-Ort-Zahlungen vereinheitlichen: Schaffen Sie Unified Commerce über Online- und Vor-Ort-Kanäle hinweg, um Interaktionen zu personalisieren, Treue zu belohnen und Ihren Umsatz zu steigern.

  • Zahlungs-Performance verbessern: Steigern Sie Ihren Umsatz mit einer Reihe anpassbarer, einfach zu konfigurierender Zahlungstools, darunter eine No-Code-Betrugsvorbeugung und erweiterte Funktionen zur Verbesserung der Autorisierungsquoten.

  • Mit einer flexiblen, zuverlässigen Plattform schneller wachsen: Setzen Sie auf eine Plattform, die mit Ihnen mitwächst, mit einer Erreichbarkeit von 99,999 % und branchenführender Zuverlässigkeit.

Erfahren Sie mehr darüber, wie Stripe Payments Sie bei Online- und Vor-Ort-Zahlungen unterstützen kann oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Something went wrong. Please try again or contact support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.