Startseite Standards Branchen ✦ KI-Bewertung Angebot anfordern →
StartseiteStandards → PCI DSS

PCI DSS — Datensicherheitsstandard der Zahlungskartenindustrie

Der verbindliche Sicherheitsstandard für alle Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übermitteln. BALTUM unterstützt Händler, Zahlungsabwickler und Dienstleister bei der Einhaltung von PCI DSS v4.0 — von der SAQ-Selbstbewertung bis hin zu vollständigen Report on Compliance (ROC)-Projekten.

PCI DSS v4.0ZahlungssicherheitSAQROCKarteninhaberdaten

Was ist PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Satz von Sicherheitsanforderungen, der vom PCI Security Standards Council (PCI SSC) festgelegt wurde — gegründet von American Express, Discover, JCB, Mastercard und Visa. PCI DSS v4.0, veröffentlicht im März 2022, ist nun der aktive Standard (v3.2.1 wurde im März 2024 zurückgezogen).

Die Einhaltung ist für jede Organisation verpflichtend, die Karteninhaberdaten speichert, verarbeitet oder übermittelt — unabhängig vom Transaktionsvolumen. Nichteinhaltung kann zu Geldstrafen, erhöhten Transaktionsgebühren und dem Verlust der Kartenakzeptanzrechte führen.

PCI DSS Compliance-Stufen

  • Stufe 1 — Händler, die über 6 Millionen Transaktionen/Jahr verarbeiten; erfordert jährlichen ROC durch einen QSA und viertjährlichen Netzwerkscan.
  • Stufe 2 — 1–6 Millionen Transaktionen/Jahr; jährlicher SAQ und viertjährlicher Scan.
  • Stufe 3 — 20.000–1 Million E-Commerce-Transaktionen; jährlicher SAQ und viertjährlicher Scan.
  • Stufe 4 — Unter 20.000 E-Commerce- oder bis zu 1 Million andere Transaktionen; jährlicher SAQ empfohlen.

Wesentliche Änderungen in PCI DSS v4.0

  • Option für einen individuellen Ansatz für Organisationen mit ausgereiften Kontrollen
  • Neue Anforderungen für Phishing-resistente MFA
  • Erweiterte Anforderungen für E-Commerce- und Zahlungsseitensicherheit (Anforderung 6.4)
  • Neue Anforderungen für gezielte Risikoanalysen
  • 64 neue zukünftig gültige Anforderungen (verpflichtend ab März 2025)

BALTUM PCI DSS-Engagement

  • Umfangsdefinition und Kartierung der Karteninhaberdatenumgebung (CDE)
  • Gap-Analyse gegenüber den Anforderungen von PCI DSS v4.0
  • Behebungsfahrplan und Unterstützung bei der Kontrollimplementierung
  • Unterstützung bei der SAQ-Erstellung (SAQ A, A-EP, B, C, D je nach Anwendbarkeit)
  • ROC-Vorbereitung und QSA-Koordination für Stufe-1-Händler
  • Koordination viertjährlicher ASV-Schwachstellenscans

Integration mit ISO 27001

PCI DSS und ISO 27001 teilen erhebliche Kontrollüberschneidungen in den Bereichen Zugriffskontrolle, Schwachstellenmanagement, Protokollierung und Überwachung sowie Incident Response. Das integrierte Programm von BALTUM ordnet beide Anforderungssätze einem einheitlichen Kontrollrahmen zu — wodurch Doppelarbeit minimiert und die Gesamtkosten der Compliance reduziert werden.