PCI-DSS
      Zurück zur Startseite
      1. Knowledge Base
      2. Tipps & Tricks
      3. PCI-DSS

      PCI-DSS: Informationen

      Was genau ist PCI-DSS und was muss ich beachten?

      Was ist PCI DSS?

      Der Payment Card Industry Data Security Standard (PCI DSS) ist ein international anerkannter Sicherheitsstandard, der von den großen Kreditkartenunternehmen wie Visa, MasterCard, American Express, Discover und JCB entwickelt wurde. Ziel ist es, den Schutz von Kreditkartendaten im Online- und stationären Handel zu gewährleisten. Für E-Commerce-Händler bedeutet die Einhaltung dieses Standards, dass sie bestimmte technische und organisatorische Maßnahmen umsetzen müssen, um Kreditkartendaten vor Diebstahl, Missbrauch und unbefugtem Zugriff zu schützen.

      Aktuelle Änderungen durch PCI DSS 4.0.1 (Stand 2025)

      Am 30. Januar 2025 wurde vom Payment Card Industry Security Standards Council (PCI-SSC) die neue PCI-DSS-Version 4.0.1 veröffentlicht, in der die Anforderungen für Händler im Vergleich zu v4.0 gelockert wurden. Im Vergleich zu PCI v3 wurden sie verschärft. Die Verantwortung für die Sicherheit der Kreditkartendaten liegt mit dieser weiterhin bei den Händlern, jedoch entfällt die Notwendigkeit der vierteljährlichen ASV-Scans.

      Was bedeutet das für meinen Cluster bei maxcluster?

      Für Ihren Cluster bei uns bedeutet dies, dass Sie keine ASV-Scans durchführen müssen, sofern Sie keine Kreditkartendaten auf Ihrem Cluster verarbeiten und die eigentliche Verarbeitung der Kreditkartendaten lediglich auf den Servern Ihres verwendeten Zahlungsdienstleisters stattfindet.

      Für eine spezifische Überprüfung Ihres konkreten Anwendungsfalls wenden Sie sich bitte direkt an Ihren Zahlungsdienstleister.


      Sie können für die Anfrage an Ihren Zahlungsdienstleister folgende Vorlage verwenden:

      Sehr geehrte Damen und Herren,

      unser Online-Shop [DOMAIN] verwendet Ihr Zahlungsmodul zur Abwicklung von Kreditkartendaten. Wir wurden von unserem Hoster darauf aufmerksam gemacht, dass wir aufgrund der Änderungen des PCI-SSC an der PCI-DSS v4.0.1 gemeinsam mit Ihnen prüfen müssen, ob für unseren Server ebenfalls die Notwendigkeit besteht, die Anforderungen der PCI-DSS mittels eines ASV-Scans zu überprüfen. Da die Abwicklung der Zahlung auf Ihren Servern stattfindet und wir somit keine Kreditkartendaten direkt verarbeiten, entfällt nach unserem Verständnis mit der letzten Änderung der PCI-DSS die Notwendigkeit der regelmäßigen Durchführung von ASV-Scans.

      Daher ergeben sich für uns folgende Fragen:

      • Verstehen wir die letzten Änderungen des PCI-SSC an dieser Stelle richtig und entfällt für uns damit die Notwendigkeit der regelmäßigen ASV-Scans für unsere Server?
      • Welche Sicherheitsmaßnahmen müssen wir auf unseren Servern einhalten, um weiterhin Ihr Zahlungsmodul verwenden zu können?

      Können Sie uns bitte Ihre Einschätzung zu diesen Fragen zukommen lassen? Vielen Dank.

       

      Mit freundlichen Grüßen

       

      Nehmen Sie uns bei der Kommunikation an Ihren Zahlungsdienstleister gerne in CC, damit wir Sie bei eventuellen Rückfragen direkt unterstützen können.

      Hinweis: Bitte beachten Sie, dass wir Ihnen diesbezüglich nur unsere interne und keine rechtliche Einschätzung geben können. 

       

      Wenn Sie trotzdem einen ASV-Scan auf Ihrem Cluster durchführen möchten, unterstützen wir Sie gerne. Weiterführende Informationen zu ASV-Scans, False Positives und deren Lösungen finden Sie in unserem Knowledge-Base-Artikel.

      Sie verarbeiten Kreditkartendaten auf Ihrem Cluster?

      Dann gelten für Sie weiterhin die Pflichten für Shopbetreiber (Stand 2025)
      Mit der Einführung von PCI DSS Version 4.0.1 ergeben sich neue und aktualisierte Anforderungen für Shopbetreiber.

      Hier kurz im Überblick:

      • Stärkere Authentifizierung
        Mehrstufige Authentifizierungsprozesse (z.B. Zwei-Faktor-Authentifizierung) sind jetzt verpflichtend, um unbefugten Zugriff auf Zahlungssysteme zu verhindern. Das bedeutet, dass Mitarbeiter und Händler zusätzliche Sicherheitsmaßnahmen bei der Anmeldung verwenden müssen.
      • Verschlüsselung
        Datenübertragungen, insbesondere bei der Übermittlung von Kreditkartendaten, müssen mit aktuellen Verschlüsselungstechnologien geschützt werden. Veraltete Verschlüsselungsmethoden sind nicht mehr zulässig.
      • Regelmäßige Sicherheitsüberprüfungen
        Händler sind verpflichtet, regelmäßig Penetrationstests und Sicherheitsbewertungen durchzuführen, um Schwachstellen zu identifizieren und zu beheben. Diese Prüfungen sollen mindestens einmal jährlich erfolgen.
      • Sicherheitsrichtlinien und Mitarbeiterschulungen
        Es müssen klare Sicherheitsrichtlinien vorhanden sein, die regelmäßig kommuniziert und aktualisiert werden. Zudem sollen alle Mitarbeiter im Umgang mit sensiblen Zahlungsdaten geschult werden, um menschliche Fehler zu minimieren.
      • Technische Maßnahmen
        Der Einsatz aktueller Sicherheitssoftware, Firewalls, Intrusion Detection Systeme und anderer technischer Maßnahmen ist Pflicht, um die Systeme vor Angriffen zu schützen.

      Was bedeutet das für E-Commerce-Händler?

      Händler sollten ihre bestehenden Systeme und Prozesse genau prüfen und an die neuen Anforderungen anpassen. Das umfasst:

      • Aktualisierung der Sicherheitssoftware und Verschlüsselungstechnologien
      • Implementierung von Mehr-Faktor-Authentifizierung bei allen Zugängen zu Zahlungssystemen
      • Durchführung regelmäßiger Sicherheitsüberprüfungen und Penetrationstests
      • Schulung der Mitarbeiter im sicheren Umgang mit Zahlungsdaten
      • Dokumentation aller Maßnahmen, um im Falle einer Prüfung nachweisen zu können, dass man konform ist

      Die Einhaltung von PCI DSS ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Baustein, um das Vertrauen der Kunden zu gewinnen und das Risiko von Datenlecks zu minimieren.

      Warum ist die Aktualisierung so wichtig?

      Mit den neuen Vorgaben sollen Sicherheitslücken geschlossen und der Schutz sensibler Zahlungsdaten weiter verbessert werden. Händler, die die Anforderungen nicht erfüllen, riskieren Bußgelder, den Verlust der Kreditkartenakzeptanz oder einen Imageschaden im Falle eines Datenlecks.

      Fazit

      Die Umstellung auf PCI DSS 4.0.1 bringt zwar zusätzliche Anforderungen mit sich, bietet aber auch die Chance, die eigene Sicherheitsinfrastruktur zu verbessern. Es ist ratsam, frühzeitig Maßnahmen zu ergreifen, um konform zu bleiben und die Sicherheit der Kunden- und Zahlungsdaten dauerhaft zu gewährleisten.

       

      Unsere Blogbeiträge zu diesem Thema:

      PCI-DSS: Das müssen E-Commerce-Händler wissen!
      PCI DSS 4.0.1: Neue Pflichten für Shopbetreiber

       

      Unsere Knowledge Base Artikel zu diesem Thema:

      ASV-Scan: Informationen, Ergebnisse, “false positives” und Lösungen
      Penetrationstests auf meinem Server

       

      Bei weiteren Fragen steht Ihnen unser Support unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.

      Veröffentlicht am: 10.07.2025