Leistungen
PCI DSS v4.0.1 ist die einzige gültige Version, und die neuen ‘future-dated’ Anforderungen sind seit dem 31. März 2025 verpflichtend — darunter authentifizierte interne Scans, MFA für den CDE-Zugang, automatisierte Log-Überprüfung und die Skript-Integritätskontrollen, die jeden SAQ-A-EP-Händler überraschen. Wir ermitteln Ihren Karteninhaberdaten-Umfang, bringen Sie auf der SAQ-Leiter nach unten (A, A-EP, B, B-IP, C, C-VT, D, P2PE) mit Tokenisierung, Weiterleitung und P2PE-Architekturen, implementieren die 12 Anforderungen über Netzwerk, Verschlüsselung, IAM, Logging, sichere Entwicklung und Lieferantenmanagement und übernehmen die QSA/ISA/ASV-Beziehungen. Technisch fundierte Kontrollen, QSA-fähige Scope-Memos. Scoping ab 6.000 EUR.
Das günstigste PCI-DSS-Programm ist das mit dem kleinsten Scope. Das teuerste ist das, bei dem ein einzelnes unkontrolliertes HTML-Formular auf der Marketing-Website den gesamten Web-Stack in die CDE zieht. Wir beginnen jedes Engagement mit einem schriftlichen Scoping-Memo, das der QSA Ihres Acquirers akzeptieren wird, und entwerfen anschließend die Architektur, die Karteninhaberdaten aus Systemen heraushält, die sie nicht benötigen — Tokenisierungsvaults, reiner Redirect-Checkout, P2PE-Terminals, segmentierte CDE hinter dokumentierten Firewall-Regeln. Das Ergebnis: weniger Kontrollen zu pflegen, schnellere Audits und eine Sicherheitsposition, die die Durchsetzung von v4.0.1 übersteht.
Schriftliche Karteninhaberdaten-Umgebungskarte: jedes System, das PAN speichert/verarbeitet/überträgt, jedes verbundene System, jede Außer-Scope-Begründung. SAQ-Eignungsentscheidung und die Architekturänderungen, die Sie auf der SAQ-Leiter nach unten verschieben.
Req-1-Firewall-Standards, Req-2-Härtung, dedizierte VPC/Subnetze für die CDE mit dokumentiertem Ingress/Egress, Jump-Host mit MFA, Segmentierungstests gemäß Req 11.4.5 (jährlich für Händler, alle 6 Monate für Dienstleister).
Req-3-PAN-Speicherung mit starker Kryptografie (AES-256, FIPS 140-2/3 validiert), Req-4-Übertragung TLS 1.2+ mit starken Ciphers, Schlüssel-Lifecycle gemäß Req 3.7, Split-Knowledge und Dual-Control für Schlüsselverwalter, KMS-gestützte Envelope-Verschlüsselung.
Req-6-Secure-SDLC: Bedrohungsmodellierung, Secure-Coding-Training, Code-Review, SAST/DAST-Integration, Abhängigkeits-Scanning, Change-Management-Workflow, OWASP-Top-10-Tests und die v4.0.1-Web-Tier-Skript-Integritätskontrollen (Req 6.4.3 + 11.6.1).
Req-10-Audit-Logging mit der v4.0.1 automatisierten Log-Überprüfung (Req 10.4.1.1), 1 Jahr Aufbewahrung (3 Monate sofort zugänglich), FIM (Req 11.5), IDS/IPS (Req 11.5.1), Dateiintegritätsmonitoring und der Alarm-zu-On-Call-Workflow.
SAQ-Fertigstellung (A, A-EP, B, B-IP, C, C-VT, D, P2PE) oder RoC-Unterstützung, AOC-Unterzeichnung, QSA-Liaison, ASV-Quartals-Scan-Begleitung (Req 11.3.2), jährlicher Penetrationstest (Req 11.4.3), gezielte Risikoanalysen für jeden v4.0.1 angepassten Ansatz.
Wochen 1–3: CDE-Inventur, SAQ-Eignungsentscheidung, Scope-Reduzierungs-Architektur (Tokenisierung, Weiterleitung, P2PE), Gap-Analyse gegen die anwendbaren Kontrollen, Sanierungsfahrplan mit Unterschrift des Sicherheitsbeauftragten.
Wochen 4–6: segmentierte CDE aufbauen, Tokenisierungs-/Weiterleitungsarchitektur deployen, verbundene Systeme isolieren, Datenfluss und Firewall-Regeln dokumentieren, ersten Segmentierungstest durchführen.
Wochen 6–12: MFA für CDE-Zugriff, Verschlüsselung und Schlüsselmanagement, Logging und automatisierte Überprüfung, sicherer SDLC, Lieferantenmanagement, Skript-Kontrollen und das auf die 12 Anforderungen abgestimmte PCI-Richtlinienpaket.
Ganzjährig: quartalsweise ASV-Scans, jährlicher Penetrationstest, Segmentierungstests, Aktualisierung gezielter Risikoanalysen, SAQ-Fertigstellung / RoC-Unterstützung und AOC-Unterzeichnung. Dokumentation des v4.0.1 angepassten Ansatzes wird aktuell gehalten.
Zwei bis drei Wochen, fester Umfang. CDE-Mapping, SAQ-Eignungsentscheidung, Scope-Reduzierungs-Architektur-Memo (Tokenisierung, Weiterleitung, P2PE), Gap-Analyse gegen die anwendbaren SAQ-Kontrollen, Sanierungsfahrplan. 6.000 EUR pauschal.
Acht bis zwölf Wochen. Netzwerksegmentierung, MFA, Verschlüsselung und Schlüsselmanagement, Logging mit automatisierter Überprüfung, sichere Entwicklung, Lieferantenmanagement, Web-Tier-Skript-Kontrollen und das PCI-DSS-Richtlinienpaket. 20.000 EUR pauschal.
Jährliches Festpreis-Engagement. ASV-Scan-Begleitung (vierteljährlich im Jahresverlauf), Aktualisierung gezielter Risikoanalysen, jährliche Koordination des Penetrationstests, Segmentierungstests, SAQ-Fertigstellung und AOC-Unterzeichnungsunterstützung. 4.500 EUR pauschal/Jahr.
Gebühren für den QSA-Report-on-Compliance-(RoC-)Audit werden separat vom QSA-Unternehmen berechnet. ASV-Scan-Gebühren werden separat vom ASV berechnet. Wir arbeiten mit Ihrem vorhandenen QSA/ASV oder vermitteln Anbieter aus unserem Netzwerk. NDA und Auftragsverarbeitungsvertrag vor Projektstart.
Zahlungsverkehr, Kreditvergabe, Neobanken und Embedded Finance — mit PCI-DSS-Scope-Minimierung und PSD2-SCA, die von Anfang an in die Produktarchitektur eingebaut sind.
Mehr erfahren →
Segmentierte AWS/GCP/Azure-Landing-Zones mit FIPS-validiertem KMS, unveränderlichem Logging, SCP-Guardrails — die Infrastrukturschicht der CDE.
Mehr erfahren →
Multi-Tenant-SaaS-Architektur, die Karteninhaberdaten durch Tokenisierung, Redirect-Checkout und Merchant-of-Record-Muster aus Tenant-Code-Pfaden heraus hält.
Mehr erfahren →DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · PCI DSS v4.0.1-aktuell
Wir lesen Ihre VPC-Topologie, Ihren Stripe-/Adyen-/Checkout-Integrationscode und Ihre IAM-Richtlinien, bevor wir das Scoping-Memo verfassen. Die Architekturentscheidungen halten stand, weil sie widerspiegeln, was der Code tatsächlich tut.
Jede Stunde, die für die Scope-Reduzierung aufgewendet wird, spart fünf Stunden Audit-Vorbereitung und zehn Stunden laufenden Betrieb. Wir setzen auf die kleinstmögliche vertretbare CDE und dokumentieren die Ausgrenzungen in einer Sprache, die Ihr QSA akzeptieren wird.
PCI Req 7/8/10/12 überschneidet sich mit SOC 2 CC, ISO-27001-Anhang A und DSGVO Art. 32 zu ~60%. Eine Nachweisbibliothek, mehrere Gutachten, kein doppelter Audit-Aufwand.
Für die QSA-Auswahl und RoC-Vorbereitung arbeiten wir neben der QSA-Empfehlungsliste Ihres Acquirers oder unserem eigenen Netzwerk — das Ergebnis ist ein sauberes AOC, kein Marketing-PDF.
Der PCI SSC definiert neun SAQ-Typen. SAQ A gilt für E-Commerce-/MOTO-Händler, die die Verarbeitung von Karteninhaberdaten vollständig an einen PCI-validierten Drittanbieter auslagern (gehostete Zahlungsseite, vollständige Weiterleitung). SAQ A-EP gilt für Händler, deren Website die Zahlung beeinflusst, aber keine Karteninhaberdaten empfängt (z. B. JavaScript, das direkt an einen Prozessor übermittelt — die neue v4.0.1 hat hier Anforderungen zur Skript-Integrität hinzugefügt). SAQ B gilt für Imprint- oder eigenständige Einwahlendgeräte; SAQ B-IP für eigenständige IP-Terminals. SAQ C und C-VT gelten für Zahlungsapplikations-Systeme und virtuelle Terminals. SAQ D ist das vollständige Monster mit 300+ Fragen — jeder Dienstleister und jeder Händler, der Karteninhaberdaten speichert, landet hier. Wir arbeiten daran, Sie auf der SAQ-Leiter nach unten zu bringen: Tokenisierung, iFrame-/Weiterleitungsmuster, P2PE-validierte Terminals (SAQ P2PE) und CDE-Netzwerkisolierung verschieben einen Level-2-Händler typischerweise von SAQ D auf SAQ A-EP oder SAQ A.
PCI DSS v4.0 löste v3.2.1 am 31. März 2024 ab; v4.0.1 (Errata-Release) ist jetzt die einzige gültige Version. Die ‘future-dated’ neuen Anforderungen wurden am 31. März 2025 verpflichtend — dazu gehören gezielte Risikoanalysen für jede Anforderung, die Flexibilität zulässt, automatisierte Mechanismen zur Log-Überprüfung (Req 10.4.1.1), authentifizierte interne Schwachstellen-Scans (Req 11.3.1.2), Web-Tier-Skript-Integritätskontrollen (Req 6.4.3 und 11.6.1 — kritisch für SAQ A-EP), MFA für alle Zugriffe in die CDE (Req 8.4.2/8.5) sowie eine dokumentierte Zuweisung jeder Anforderung an eine Rolle. Wir schließen v4.0.1-Lücken und dokumentieren die gezielten Risikoanalysen, die Ihr QSA verlangen wird.
Ein QSA (Qualified Security Assessor) ist ein externer Prüfer, der vom PCI SSC zertifiziert wurde, um Report-on-Compliance-(RoC-)Audits durchzuführen — erforderlich für Level-1-Händler und die meisten Level-1-Dienstleister. Ein ISA (Internal Security Assessor) ist ein zertifizierter interner Mitarbeiter, der interne Bewertungen durchführt und SAQs im Namen seines Arbeitgebers unterzeichnet. Ein ASV (Approved Scanning Vendor) ist eine separate Zertifizierung für Anbieter, die quartalsweise externe Schwachstellen-Scans gemäß Req 11.3.2 durchführen — Qualys, Tenable, Rapid7 und andere halten ASV-Status. Ab dem ersten Tag benötigen Sie einen ASV (quartalsweise Scans), einen QSA nur, wenn Sie Level 1 oder ein Dienstleister auf der Pflichtliste der Kartenorganisation sind. Wir sind kein QSA oder ASV; wir sind das Team, das Sie auf beide vorbereitet und die Beziehung pflegt.
Der PCI-DSS-Scope wird durch die Karteninhaberdaten-Umgebung (CDE) definiert — jedes System, das Karteninhaberdaten speichert, verarbeitet oder überträgt, plus verbundene Systeme. Tokenisierung ersetzt die PAN durch ein nicht-sensitives Token eines PCI-validierten Tokenisierungsdienstes; wenn die PAN niemals Ihre Systeme berührt (oder nur ein eng begrenztes Vault), ist der Großteil Ihres Stacks außerhalb des Scopes. P2PE (Point-to-Point Encryption) ist eine vom PCI SSC validierte Lösung, die Kartendaten am Terminal-Hardware mit einem Schlüssel verschlüsselt, den Ihre Systeme nicht entschlüsseln können — qualifizierende Händler fallen auf SAQ P2PE (~35 Kontrollen vs. 300+). Wir entwerfen die Tokenisierungs-/P2PE-Architektur, dokumentieren die Scope-Reduzierung in einem schriftlichen Scoping-Memo, das Ihr QSA akzeptieren wird, und segmentieren die verbleibende CDE hinter Firewalls/VPC-Peering mit dokumentierten Datenflusskontrollllen.
Geschichtet: PCI DSS schützt Karteninhaberdaten im Ruhezustand und bei der Übertragung; PSD2 Strong Customer Authentication (SCA) regelt, wie ein Zahler eine Transaktion im EWR/UK authentifiziert (und EMV 3-D Secure 2.x ist das technische Protokoll, das dies umsetzt); die DSGVO fügt personenbezogene Datenpflichten über PCI hinaus hinzu — PAN sind personenbezogene Daten gemäß DSGVO. SOC 2 CC- und C-Kontrollen überschneiden sich mit PCI Req 7, 8, 10, 12 zu ~60%. Wir erstellen eine einzige integrierte Kontrollkarte: SCA-Abläufe, 3DS-Ausnahmen, DSGVO-Art.-6-Rechtsgrundlage für die Zahlungsverarbeitung, PCI-DSS-Verschlüsselung und Zugriffskontrollen sowie SOC-2-Nachweise — alles aufeinander abgestimmt, sodass dieselbe Kontrolle mehrere Verpflichtungen erfüllt.
Drei Pakete. Scoping: 6.000 EUR pauschal (2–3 Wochen): CDE-Mapping, SAQ-Eignungsentscheidung, Scope-Reduzierungs-Architektur-Memo (Tokenisierung, Weiterleitung, P2PE), Gap-Analyse gegen die anwendbaren SAQ-Kontrollen, Sanierungsfahrplan. Implementierung: 20.000 EUR pauschal (8–12 Wochen): Netzwerksegmentierung, MFA für alle CDE-Zugriffe, Verschlüsselung (FIPS 140-2/3), Logging gemäß Req 10 mit automatisierter Überprüfung, sichere Entwicklung gemäß Req 6, Lieferantenmanagement gemäß Req 12.8, Web-Tier-Skriptkontrollen gemäß Req 6.4.3/11.6.1 sowie das PCI-DSS-Richtlinienpaket. Jährliche SAQ-Erneuerung: 4.500 EUR pauschal: ASV-Scan-Begleitung (vierteljährlich im Jahresverlauf), Aktualisierung gezielter Risikoanalysen, SAQ-Fertigstellung und AOC-Unterzeichnungsunterstützung. QSA-Gebühren werden separat vom QSA-Unternehmen berechnet.
