Jetzt starten  Sales-Team kontaktieren 
Jetzt starten  Sales-Team kontaktieren 

Voraussetzungen für die PCI-Bescheinigung und Ablauf: Ein praktischer Leitfaden für Unternehmen

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. Was ist die PCI-Bescheinigung?
  3. Wie funktioniert der Prozess der PCI-Bescheinigung?
  4. Was sind die PCI-DSS-Anforderungen für die Bescheinigung?
  5. Welche Arten von PCI-Bescheinigungen gibt es?
    1. SELBSTBEWERTUNGSFRAGEBOGEN (SAQ)
    2. QSA-Audit
  6. Wie füllen Sie das Formular für die PCI-Konformitätsbescheinigung aus?
  7. Was sind die Hauptvorteile der PCI-Bescheinigung?
  8. Vor welchen Herausforderungen stehen Unternehmen bei der PCI-Bescheinigung?
  9. So kann Stripe Payments Sie unterstützen
  10. Jetzt mit Stripe starten 

Alle Unternehmen, die Kartenzahlungen akzeptieren, müssen nachweisen, dass sie sicher mit Kundendaten umgehen können. Die Bescheinigung durch die Payment Card Industry (PCI) ist der formelle Prozess, durch den gezeigt wird, dass Ihre Zahlungen die Sicherheitsstandards der Branche erfüllen. In der Regel prüfen Banken und Zahlungspartner dies, bevor sie die Abwicklung vieler Transaktionen durch Sie genehmigen.

Angesichts der durchschnittlichen globalen Kosten eines Datenschutzverstoßes von 4,4 Mio. USD im Jahr 2025 ist der Konformitätsnachweis eine wichtige finanzielle Absicherung gegen die wachsenden Kosten bei Datenoffenlegungen. Im Folgenden erläutern wir, was die Konformitätsbescheinigung (Attestation of Compliance AOC) ist, wie der Prozess funktioniert, welche Anforderungen dafür bestehen und welche Vorteile – und Herausforderungen – sie für Unternehmen mit sich bringt.

Worum geht es in diesem Artikel?

  • Was ist die PCI-Bescheinigung?
  • Wie funktioniert der Prozess der PCI-Bescheinigung?
  • Was sind die PCI-DSS-Anforderungen für die Bescheinigung?
  • Welche Arten von PCI-Bescheinigungen gibt es?
  • Wie füllen Sie das Formular für die PCI-Konformitätsbescheinigung aus?
  • Was sind die Hauptvorteile der PCI-Bescheinigung?
  • Vor welchen Herausforderungen stehen Unternehmen bei der PCI-Bescheinigung?
  • So kann Stripe Payments Sie unterstützen

Was ist die PCI-Bescheinigung?

Die PCI-Bescheinigung ist die formelle Erklärung, dass Ihr Unternehmen den Payment Card Industry Data Security Standard (PCI DSS) erfüllt. Sie wird in Form der Konformitätsbescheinigung vorgelegt: ein kurzes Dokument, das bestätigt, dass Sie die erforderlichen Sicherheitskontrollen zum Schutz von Karteninhaber/innen implementiert haben.

Die Konformitätsbescheinigung wird entweder von einem unabhängigen Qualified Security Assessor (QSA) oder von einer autorisierten Führungskraft unterzeichnet, nachdem Sie einen Selbstbewertungsfragebogen (Self-Assessment Questionnaire, SAQ) ausgefüllt haben. In der Bescheinigung ist zusammengefasst, wie Ihre PCI-Bewertung durchgeführt wurde, was überprüft wurde und ob Sie die Anforderungen erfüllen. Größere Unternehmen durchlaufen in der Regel Überprüfungsverfahren durch Sicherheitsgutachter/innen, während kleinere die Möglichkeit der Selbstbewertung nutzen.

Eine Bescheinigung ist zwölf Monate lang gültig. Danach muss sie erneuert werden. Im Gegensatz zum detaillierten Konformitätsbericht (Report on Compliance, ROC), der intern bleibt, ist die Konformitätsbescheinigung das Dokument, das Sie Banken, Partnern oder Kundinnen und Kunden als Nachweis dafür vorlegen, dass Ihre Zahlungssysteme den Branchenstandards entsprechen.

Wie funktioniert der Prozess der PCI-Bescheinigung?

Die PCI-Bescheinigung ist ein Schritt eines längeren Zyklus: Umfang, Sicherheit, Bewertung, Bescheinigung und Pflege. In jeder Phase wird sichergestellt, dass die Daten der Karteninhaber/innen identifiziert, geschützt, getestet und kontinuierlich überwacht werden.

Hier ist eine detaillierte Übersicht über den Ablauf der Bescheinigung:

  • Umfang und Stufe definieren: Ermitteln Sie, wo in Ihren Systemen Kartendaten gespeichert sind, und bestimmen Sie basierend auf dem Transaktionsvolumen Ihre Händlerstufe. Daraus ergibt sich, wie streng Ihre Bewertung sein muss.

  • Kontrollen einrichten: Implementieren Sie die PCI-DSS-Anforderungen, einschließlich Firewalls, Verschlüsselung, Zugriffsbeschränkungen, Überwachung und Schulung. Diese Phase ist in der Regel die aufwendigste, da sie Systemupgrades, Konfigurationsänderungen und neue Richtlinien umfassen kann.

  • Konformität bewerten: Kleinere Händler (Stufen 2–4) füllen einen Selbstbewertungsfragebogen aus, der an ihre Einrichtung angepasst ist. Große Händler (Stufe 1) durchlaufen eine Vor-Ort-Prüfung durch ein QSA, zu der ein detaillierter Konformitätsbericht erstellt wird. In beiden Fällen müssen Sie auch Schwachstellenscans oder Penetrationstests durchführen, insbesondere für Online-Umgebungen.

  • Schwachstellen beseitigen: Ihr Unternehmen besteht möglicherweise nicht beim ersten Versuch. Häufige Gründe hierfür sind fehlende Patches, schwache Passwortregeln oder unsegmentierte Netzwerke. Ausgleichskontrollen sind zulässig, müssen aber dokumentiert und begründet werden.

  • Selbstbewertungsfragebogen ausfüllen: Nachdem alle Probleme behoben sind, füllen Sie das offizielle Formular mit Informationen zum Unternehmen, Bewertungsumfang, Zusammenfassung der Konformität und Unterschriften einer Führungskraft (und der Vertretung eines QSA, falls beteiligt) aus. Dies ist dann Ihr Konformitätsnachweis für Banken und Partner.

  • Konformität das ganze Jahr über sicherstellen: Durch vierteljährliche Kontrollen, Systemüberwachung und Mitarbeiterschulungen halten Sie den Standard bis zur nächsten jährlichen Verlängerung.

Was sind die PCI-DSS-Anforderungen für die Bescheinigung?

Um eine Konformitätsbescheinigung unterzeichnen zu können, muss ein Unternehmen nachweisen, dass es die zwölf PCI-DSS-Anforderungen erfüllt. Sie decken alle Punkte ab – von der Netzwerksicherheit bis hin zu Mitarbeiterschulungen. Die zwölf Anforderungen sind zwar weit gefasst, haben aber viele untergeordnete Anforderungen – insgesamt mehr als 300. Auf allgemeiner Ebene entsprechen sie den üblichen Praktiken zum Schutz der Daten von Karteninhaber/innen.

Die zwölf Anforderungen sind:

  • Firewalls: Nutzen Sie starke Netzwerkabwehrmechanismen, um unbefugten Zugriff auf die Daten von Karteninhaber/innen zu verhindern.

  • Keine Standardeinstellungen: Ändern Sie von Anbietern bereitgestellte Passwörter und Einstellungen.

  • Datenspeicherung: Speichern Sie Daten von Karteninhaber/innen nur wenn unbedingt erforderlich und machen Sie sie durch Verschlüsselung oder Tokenisierung unlesbar. Speichern Sie niemals sensible Daten wie die Kartenprüfnummer (CVV).

  • Verschlüsselung während der Übertragung: Schützen Sie Kartendaten, während sie über offene Netzwerke übertragen werden, durch starke Verschlüsselungsmethoden – zum Beispiel Transport Layer Security (TLS).

  • Malware-Abwehr: Sorgen Sie dafür, dass Antiviren- und Malware-Software systemübergreifend aktiv und auf dem neuesten Stand ist.

  • Patch-Management: Wenden Sie Sicherheitsupdates umgehend an und halten Sie sich bei selbst entwickeltem Code an sichere Entwicklungspraktiken.

  • Zugriffskontrolle: Beschränken Sie den Datenzugriff streng auf Personen, die ihn für ihre Arbeit benötigen.

  • Nutzerauthentifizierung: Vergeben Sie für alle Nutzer/innen eine eindeutige ID, erzwingen Sie starke Passwörter und verlangen Sie gegebenenfalls eine Multi-Faktor-Authentifizierung.

  • Physische Schutzmaßnahmen: Beschränken Sie den physischen Zugriff auf Server, Terminals und Speicherbereiche, in denen Kartendaten gespeichert sind.

  • Logs und Überwachung: Erfassen und überprüfen Sie Aktivitäten auf Systemen, die mit Kartendaten umgehen.

  • Testen: Führen Sie regelmäßige Scans, Penetrationstests und Systemprüfungen durch, um zu bestätigen, dass die Abwehrmaßnahmen funktionieren.

  • Richtlinien und Schulungen: Dokumentieren Sie Sicherheitsrichtlinien, halten Sie sie auf dem neuesten Stand und schulen Sie Ihre Mitarbeiter/innen darin, sie zu befolgen.

Nicht jede Anforderung gilt in jeder Umgebung. Unternehmen, die keine Kartendaten speichern, können beispielsweise Speicherkontrollen als „nicht zutreffend“ kennzeichnen. Sie müssen sich jedoch in der Regel mit allen zwölf Anforderungen auseinandersetzen. In der neusten Version PCI DSS v4.0.1 wird Wert auf Flexibilität bei Einhaltung der grundlegenden Standards gelegt.

Welche Arten von PCI-Bescheinigungen gibt es?

Die Art und Weise, wie Sie die PCI-Konformität bestätigen, hängt von Ihrem Transaktionsvolumen und Ihrer Funktion in der Zahlungskette ab. Es gibt zwei Hauptwege: Überprüfung durch einen Selbstbewertungsfragebogen oder durch ein QSA-Unternehmen. Durch die PCI-Regeln ist festgelegt, welche für Ihr Unternehmen gilt.

SELBSTBEWERTUNGSFRAGEBOGEN (SAQ)

Kleine und mittlere Unternehmen, die nach PCI-Standards als Händler der Stufen 2–4 eingestuft werden, füllen einen Selbstbewertungsfragebogen aus. Ihre Händlerstufe hängt hauptsächlich davon ab, wie viele Kartentransaktionen Sie pro Jahr abwickeln: Stufe 1 gilt für die größten Unternehmen, während die Stufen 2 bis 4 für Unternehmen gelten, die weniger Transaktionen abwickeln. Der Selbstbewertungsfragebogen umfasst standardisierte Ja-oder-Nein-Fragen, die die PCI-Anforderungen abdecken. Es gibt spezifische Versionen für verschiedene Zahlungs-Setups (z. B. SAQ A für vollständig ausgelagerten E-Commerce und SAQ D für Unternehmen, die Kartendaten speichern). Sie wählen den passenden Selbstbewertungsfragebogen danach aus, wie Sie mit Daten von Karteninhaber/innen umgehen. Sobald der Fragebogen ausgefüllt ist, unterzeichnet eine Führungskraft das Formular der Konformitätsbescheinigung, um zu bestätigen, dass die Antworten korrekt sind.

QSA-Audit

Händler der Stufe 1 und große Dienstleister müssen ein Überprüfungsverfahren durch ein QSA-Unternehmen durchlaufen. Die für die Bewertung zuständige Person prüft die Systeme, Richtlinien und Kontrollen detailliert und erstellt dann einen Konformitätsbericht und eine Konformitätsbescheinigung. Die Konformitätsbescheinigung enthält in diesem Fall die Unterschrift der Vertretung des QSA, um zu bestätigen, dass eine unabhängige Überprüfung durchgeführt wurde.

Dienstleister haben eigene Stufen und unterliegen oft strengeren Anforderungen als Händler. In allen Fällen ist das Endprodukt dasselbe: eine Konformitätsbescheinigung, die dokumentiert, wie die Bewertung durchgeführt wurde und wer sie bestätigt hat.

Wie füllen Sie das Formular für die PCI-Konformitätsbescheinigung aus?

Wenn Sie bei der Unterzeichnung der Konformitätsbescheinigung angelangt sind, ist die harte Arbeit bereits erledigt. Das Formular bestätigt die durchgeführte Bewertung, stellt aber keine Bewertung an sich dar. Genauigkeit und Klarheit sind hier wichtig, da Sie dieses Dokument Banken oder Partnern zur Verfügung stellen. So füllen Sie es aus:

  • Mit dem richtigen Formular beginnen: Der PCI Security Standards Council veröffentlicht verschiedene Konformitätsbescheinigungsvorlagen für Händler und Dienstleister sowie für Selbstbewertungen und QSA-gestützte Audits. Die Verwendung des falschen Formulars kann zu Verzögerungen führen.

  • Unternehmensdaten eingeben: Geben Sie Informationen zum Unternehmen, Kontaktdaten und das Datum der Bewertung ein. Dadurch ist die Bescheinigung mit Ihrem Unternehmen verknüpft.

  • Umgebung der Daten von Karteninhaber/innen beschreiben: Geben Sie die von Ihnen verwendeten Zahlungskanäle an, welche Systeme und Standorte in den Geltungsbereich fallen und welche Drittanbieter beteiligt sind. Machen Sie präzise Angaben. In diesem Abschnitt werden die Grenzen der Konformität definiert.

  • Konformität zusammenfassen: Im Formular sind die zwölf PCI-DSS-Anforderungsbereiche aufgeführt. Markieren Sie jeden als „vorhanden“, „nicht vorhanden“ oder „nicht zutreffend“. Idealerweise ist alles zum Zeitpunkt der Unterzeichnung vorhanden.

  • Unterzeichnen und einreichen: Die Konformitätsbescheinigung wird immer von einer Führungskraft unterschrieben. Bei Stufe-1-Überprüfungen unterzeichnet außerdem die QSA-Vertretung. Wenn irgendwelche Anforderungen nicht erfüllt wurden, fügen Sie einen dokumentierten Aktionsplan bei, wie die Schwachstellen beseitigt werden.

Sobald die Konformitätsbescheinigung vollständig ist, prüfen Sie sie sorgfältig, reichen Sie sie bei Ihrem Acquirer (Händlerbank) ein und bewahren Sie eine Kopie auf.

Was sind die Hauptvorteile der PCI-Bescheinigung?

Die PCI-Bescheinigung bestätigt, dass Ihr Unternehmen den von den Kartennetzwerken erwarteten Sicherheitsstandard erfüllt hat. Diese Bestätigung bringt Vorteile wie einen stärkeren Schutz vor Sicherheitsverletzungen, mehr Vertrauen von Kundinnen und Kunden und weniger Hindernisse bei der Zusammenarbeit mit Partnern mit sich.

Im Folgenden erfahren Sie detailliert, wie die PCI-Bescheinigung Ihrem Unternehmen zugute kommen kann:

  • Kundenvertrauen: Das Ausfüllen der Bescheinigung zeigt, dass Sie Datenschutz ernst nehmen, was Kunden/Kundinnen und Partnern, die sich beim Schutz ihrer Kartenangaben auf Sie verlassen, Sicherheit gibt.

  • Niedrigeres Risiko: Die Einhaltung des PCI-Frameworks senkt die Wahrscheinlichkeit eines kostspieligen Verstoßes, da Kontrollen wie Verschlüsselung, Überwachung und regelmäßige Tests durchgesetzt werden.

  • Weniger Strafen: Die Nichteinhaltung kann nach einem Verstoß zu Bußgeldern und Haftungsansprüchen führen. Eine Konformitätsbescheinigung hilft beim Nachweis der Due Diligence und kann das Risiko begrenzen.

  • Mehr Partner: Einige Partner verlangen einen Nachweis der PCI-Konformität von Unternehmen. Wenn Sie eine Konformitätsbescheinigung parat haben, werden Hindernisse beseitigt und es können sich sogar neue Chancen ergeben.

  • Kleinerer Konformitätsumfang (mit dem richtigen Anbieter): Wenn Sie einen Dienstleister der Stufe 1 wie Stripe verwenden, gelangen sensible Daten oftmals erst gar nicht in Ihre Systeme. Dies vereinfacht Ihre eigenen Verpflichtungen und erleichtert den Prozess der Bescheinigung.

Vor welchen Herausforderungen stehen Unternehmen bei der PCI-Bescheinigung?

Die PCI-Bescheinigung erfordert Zeit, Koordination und eine gute Kenntnis des Standards.

Die größten Herausforderungen lassen sich in einige Kategorien unterteilen:

  • Umfang definieren: Einer der schwierigsten Schritte besteht darin, genau zu bestimmen, wohin Daten von Karteninhaber/innen fließen. Wenn Sie eine Datenbank oder ein Backup übersehen, besteht das Risiko, dass ein Teil Ihrer Umgebung ungesichert bleibt. Fehler beim Umfang führen auch dazu, dass Sie den falschen Selbstbewertungsfragebogen wählen, was Ihre Bescheinigung ungültig machen kann.

  • Komplexität und Skalierung: Das PCI DSS umfasst mehr als 300 Kontrollen bei zwölf Anforderungsbereichen. Kleinere Teams können damit überfordert sein. Größere Unternehmen müssen Änderungen in vielen Abteilungen und Systemen koordinieren. Unabhängig von der Größe des Unternehmens nehmen Dokumentation und Beweisführung Zeit in Anspruch.

  • Konformität aufrechterhalten: PCI-Bescheinigungen als jährliche Aktion anzusehen, birgt ein gewisses Risiko. Kontrollen können fehlschlagen und neue Systeme ohne angemessene Schutzmaßnahmen live gehen. PCI DSS v4.0.1 verlangt eine kontinuierliche Überwachung statt eines Ansatzes, bei dem lediglich einmal jährlich eine Checkliste abgehakt wird.

  • Sich ändernde Anforderungen: Standards ändern sich. Mit PCI DSS v4.0.1 wurden neue Regeln für Authentifizierung, Tests und Risikoanalyse eingeführt. Unternehmen müssen auf dem neuesten Stand bleiben und sich schnell anpassen, wenn sich Anforderungen ändern.

  • Genauigkeit und Ehrlichkeit: Die Bescheinigung ist eine rechtliche Erklärung. Unvollständige oder ungenaue Antworten oder das Beschönigen von Ausgleichskontrollen können Sie bei einer Sicherheitsverletzung teuer zu stehen kommen.

  • Kosten: Unabhängige Audits, Sicherheitstools, Scans und Arbeitszeit summieren sich. Kleine Unternehmen haben häufig den Eindruck, dass die Ausgaben hoch sind, doch die finanziellen Auswirkungen einer Nichteinhaltung sind weitaus höher.

Diese Herausforderungen sind durch Planung, Fachwissen und – in vielen Fällen – die richtigen Partner lösbar.

So kann Stripe Payments Sie unterstützen

Stripe Payments bietet eine einheitliche, globale Zahlungslösung, mit der jedes Unternehmen – von Start-ups bis hin zu globalen Konzernen – Zahlungen online, vor Ort und weltweit akzeptieren kann.

Mit Stripe Payments können Sie Folgendes umsetzen:

  • Bezahlvorgang optimieren: Schaffen Sie ein reibungsloses Kundenerlebnis und sparen Sie Tausende von Entwicklungsstunden mit vorgefertigten Zahlungs-Nutzeroberflächen, Zugang zu über 125 Zahlungsmethoden und Link, einer von Stripe entwickelten Wallet.

  • Neue Märkte schneller erschließen: Erreichen Sie Kundinnen und Kunden weltweit und reduzieren Sie die Komplexität und Kosten der Verwaltung mehrerer Währungen mit grenzüberschreitenden Zahlungsoptionen, die in 195 Ländern und über 135 Währungen verfügbar sind.

  • Online- und Vor-Ort-Zahlungen vereinheitlichen: Schaffen Sie Unified Commerce über Online- und Offline-Kanäle hinweg, um Interaktionen zu personalisieren, Treue zu belohnen und den Umsatz zu steigern.

  • Zahlungs-Performance verbessern: Steigern Sie Ihren Umsatz mit einer Reihe anpassbarer, einfach zu konfigurierender Zahlungstools, darunter eine No-Code-Betrugsvorbeugung und erweiterte Funktionen zur Verbesserung der Autorisierungsquoten.

  • Schnelleres Wachstum dank einer flexiblen, zuverlässigen Plattform: Bauen Sie auf einer Plattform auf, die mit Ihnen mitwächst, mit einer historischen Erreichbarkeit von 99,999 % und branchenführender Zuverlässigkeit.

Erfahren Sie mehr darüber, wie Stripe Payments Sie bei Online- und Vor-Ort-Zahlungen unterstützen kann oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.