PCI-Compliance — Der Wächter der Kartendaten

PCI steht für Payment Card Industry Data Security Standard — ein globales Regelwerk, das von Visa, Mastercard, American Express, Discover und JCB geschaffen wurde, um sicherzustellen, dass Kartendaten überall dort sicher bleiben, wo sie unterwegs sind.

Jede Kartentransaktion enthält sensible Informationen — Kartennummern, Ablaufdaten, CVVs und Angaben zum Karteninhaber. Bevor PCI DSS existierte, ging jeder auf seine eigene Weise mit diesen Daten um. Einige taten es sicher; viele nicht. Vollständige Kartennummern in ungeschützten Datenbanken speichern? Üblich. Payment APIs, die unmaskierte PANs in Antworten zurückgeben? Nicht ungewöhnlich. Es war Chaos.

Datenlecks waren überall, und eine einzige nachlässige Integration konnte über Nacht Millionen von Karten offenlegen. 2004 griffen die grossen Schemes schliesslich ein und führten ihre getrennten Sicherheitsprogramme zu einem einzigen Standard zusammen. Das Ziel war klar: eine globale Basislinie für alle definieren, die Kartendaten speichern, verarbeiten oder übertragen. Daraus wurde PCI DSS, verwaltet vom PCI Security Standards Council (PCI SSC) — das Rückgrat dafür, wie Kartendaten heute sicher gehalten werden.

Versionen und Aktualisierungen

Wie jeder gute Sicherheitsstandard entwickelt sich PCI DSS so schnell weiter wie die Bedrohungen selbst. PCI DSS ist kein einmaliges Regelwerk — es ist ein lebendiger Standard. Alle paar Jahre werden neue Versionen veröffentlicht, um neue Technologien, neue Zahlungsmethoden und sich wandelnde Sicherheitsbedrohungen zu berücksichtigen. Derzeit ist die neueste Version PCI DSS 4.0, veröffentlicht im März 2022, wobei Version 4.0.1 2024 publiziert wurde, um Klarstellungen und kleinere Aktualisierungen aufzunehmen. Die ältere Version 3.2.1 wurde im März 2025 offiziell ausser Kraft gesetzt, wodurch Organisationen eine Übergangsfrist zur Anpassung erhielten.

Jede Aktualisierung bringt typischerweise Verfeinerungen bei Verschlüsselung, Authentifizierung, Überwachung und Risikomanagement mit sich. PCI DSS 4.0 wechselte beispielsweise von einem Checklisten-Ansatz zu einem flexibleren, ergebnisorientierten Modell — und fördert kontinuierliche Sicherheit statt jährlicher Compliance-Übungen. Regelmässige Überarbeitungen stellen sicher, dass der Standard mit neuen Bedrohungen und Technologien Schritt hält, von Tokenization und Cloud-Infrastruktur bis hin zu moderner Authentifizierung und DevOps-Umgebungen.

Wer sich daran halten muss

Wenn Sie Kartendaten speichern, verarbeiten oder übertragen, gilt PCI DSS für Sie. Dazu gehören Händler, PSPs, Acquirer und sogar Softwareanbieter. Die Faustregel ist einfach: Je näher Sie an die Kartendaten herankommen, desto grösser sind Ihre Verpflichtungen.

Händler werden je nach Anzahl der Transaktionen pro Jahr in vier PCI-Stufen eingeteilt:

  • Stufe 1: Über 6 Millionen Transaktionen — ein vollständiges jährliches Audit durch einen Qualified Security Assessor (QSA) ist obligatorisch
  • Stufe 2: Zwischen 1 und 6 Millionen — eine Selbsteinschätzung plus vierteljährliche Schwachstellenscans
  • Stufe 3: Zwischen 20.000 und 1 Million — eine leichtere Selbsteinschätzung, aber weiterhin unter Beobachtung
  • Stufe 4: Unter 20.000 — minimale Berichterstattung, aber dieselben Sicherheitsregeln gelten weiterhin

Die meisten kleinen und mittelgrossen Händler füllen einen Self-Assessment Questionnaire (SAQ) aus und führen vierteljährliche Scans über einen Approved Scanning Vendor (ASV) durch. Die grossen Akteure hingegen — grosse Einzelhändler, Prozessoren und Zahlungsanbieter — durchlaufen jedes Jahr Vor-Ort-Audits und Penetrationstests.

Payment Service Providers (PSPs), Acquirer und Gateways sitzen an der Spitze der Pyramide. Sie verarbeiten Millionen von Transaktionen und speichern oft Kartendaten im Auftrag anderer, daher müssen sie eine PCI DSS-Zertifizierung der Stufe 1 aufrechterhalten, die jährlich von externen QSAs validiert wird. Diese Zertifizierung deckt alles ab, von APIs und Datenbanken bis hin zu Rechenzentren, Verschlüsselungs-Tresoren und Tokenization-Systemen.

Was PCI nicht abdeckt

PCI DSS schützt Kartendaten, nicht jede Zahlung auf der Welt. Es gilt nicht für Banküberweisungen, mobile Wallets oder lokale Zahlungsmethoden wie TWINT, iDEAL oder Pix — diese haben ihre eigenen Regelwerke unter PSD2, GDPR oder ISO 20022.

Und hier ein häufiger Irrtum: PCI-Compliance geht nicht um Betrugsprävention. Sie können vollständig PCI-konform sein und trotzdem eine betrügerische Transaktion verarbeiten. PCI stellt lediglich sicher, dass sensible Daten sicher gespeichert, gehandhabt und übertragen werden — es hält die Leitungen sicher, nicht die Entscheidungen, die durch sie fliessen.

Outsourcing und Scope-Reduktion

Der beste Weg, das PCI-Spiel zu gewinnen? Spielen Sie nicht zu viel davon.

Wenn Ihre Systeme nie mit Kartendaten in Berührung kommen, sind Sie automatisch sicherer — und Ihr Compliance-Umfang schrumpft drastisch. Deshalb nutzen so viele Händler gehostete Zahlungsseiten, sichere iFrames oder mobile SDKs von zertifizierten PSPs. In solchen Setups gelangen die Kartendaten nie über Ihre Server. Der PSP verschlüsselt, tokenisiert und speichert sie sicher — Sie erhalten lediglich ein Token zurück.

Für Entwickler bedeutet das: keine Roh-PANs speichern, keine eigene Verschlüsselung bauen und keinen eigenen Card Vault neu erfinden. Verwenden Sie die zertifizierten Tools, die bereits existieren. PCI-Compliance ist wie Strahlung: Je geringer die Exposition, desto besser.

Zertifizierung über PCI hinaus

PCI DSS ist das Flaggschiff, aber nicht das einzige Abzeichen in der Stadt. Die Zahlungswelt hat ein ganzes Alphabet an Zertifizierungen, die zusammenarbeiten, um das Ökosystem sicher zu halten:

  • PCI P2PE (Point-to-Point Encryption): Stellt sicher, dass Daten vom Moment der Eingabe in ein Terminal bis zum Erreichen des Prozessors verschlüsselt werden.
  • PA-DSS / PCI Software Security Framework (SSF): Gilt für Softwareanbieter, die Zahlungsanwendungen oder SDKs entwickeln.
  • PCI PIN: Regelt, wie PINs und kryptografische Schlüssel gehandhabt werden — einschliesslich jener geheimnisvollen "key injections" in Terminals.
  • 3-D Secure & SCA (Strong Customer Authentication): Fallen in Europa unter PSD2 und betreffen die Benutzerverifizierung statt den Datenschutz.

Jeder dieser Standards deckt einen Teil des Puzzles ab. Zusammen bilden sie das Sicherheitsnetz, das Milliarden von Transaktionen fliessen lässt, ohne sensible Informationen preiszugeben.

Warum Compliance wichtig ist

PCI-Compliance ist nicht optional. Nichteinhaltung kann zu hohen Geldbussen von Kartennetzwerken, Reputationsschäden oder sogar zum Verlust der Möglichkeit führen, Kartenzahlungen zu verarbeiten. Aber über die Strafen hinaus ist es eine Frage des Vertrauens. Jeder Händler, der Karten akzeptiert, ist Teil eines grösseren Versprechens: dass Kundendaten mit derselben Sorgfalt behandelt werden wie ihr Geld.

Die Ironie ist, dass man bei gut umgesetztem PCI nichts bemerkt — genau wie bei Zahlungen selbst. Es ist unsichtbare Sicherheit, die still jede Kartenzahlung, jedes Tap und jeden Klick schützt.

Zurück
Währungsprodukte — DCC & MCP
Die Grundlagen
Weiter
Phasen & Status von Transaktionen
Geldfluss & Wirtschaftlichkeit
Buy Me a Coffee
undefined