{"id":508722,"date":"2025-08-13T08:20:59","date_gmt":"2025-08-13T08:20:59","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&#038;p=508722"},"modified":"2025-08-13T08:20:59","modified_gmt":"2025-08-13T08:20:59","slug":"was-ist-pci-compliance","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-security\/was-ist-pci-compliance\/","title":{"rendered":"Was ist PCI-Compliance?"},"content":{"rendered":"<p>Mit der zunehmenden Beliebtheit digitaler Zahlungssysteme wachsen auch die Bedrohungen, denen sie ausgesetzt sind. Wenn Ihr Unternehmen Kreditkartendaten in irgendeiner Form annimmt, verarbeitet, speichert oder \u00fcbertr\u00e4gt, m\u00fcssen Sie eine Reihe von Sicherheitsstandards einhalten, die als\u00a0<strong>Payment Card Industry (PCI)-Compliance<\/strong> bekannt sind.<\/p>\n<p>In diesem umfassenden Leitfaden erl\u00e4utern wir, was PCI-Compliance bedeutet, warum sie wichtig ist (insbesondere f\u00fcr MSPs mit Kunden in der Finanzbranche), wie man die Konformit\u00e4t erreicht und was passiert, wenn man die Regeln nicht einh\u00e4lt.<\/p>\n<p><strong>In diesem Artikel werden folgende Themen angesprochen:<\/strong><\/p>\n<ul>\n<li><strong>Was ist PCI-Compliance?<\/strong><\/li>\n<li><strong>PCI DSS v.4.0: Was ist neu und welche Version sollten Sie verwenden?<\/strong><\/li>\n<li><strong>Wer muss PCI-konform sein?\u00a0<\/strong><\/li>\n<li><strong>Warum ist die Einhaltung der PCI-Vorschriften wichtig?<\/strong><\/li>\n<li><strong>Die 7 Kernprinzipien von PCI DSS\u00a0<\/strong><\/li>\n<li><strong>Was ist eine PCI-Compliance-Zertifizierung?<\/strong><\/li>\n<li><strong>Wie kann man PCI-konform werden?<\/strong><\/li>\n<li><strong>PCI-Konformit\u00e4tsanforderungen<\/strong><\/li>\n<li><strong>Checkliste zur PCI-Einhaltung<\/strong><\/li>\n<li><strong>Was passiert, wenn Sie PCI DSS nicht einhalten?\u00a0<\/strong><\/li>\n<li><strong>Vorteile der PCI-Compliance<\/strong><\/li>\n<li><strong>Herausforderungen bei der PCI-Compliance<\/strong><\/li>\n<li><strong>H\u00e4ufig gestellte Fragen (FAQs)<\/strong><\/li>\n<\/ul>\n<h2>Was ist PCI-Compliance?<\/h2>\n<p><span style=\"font-weight: 400;\">PCI-Compliance bezieht sich auf die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS), einer Reihe von Sicherheitsstandards zum Schutz sensibler Zahlungskartendaten bei Transaktionen. Diese Standards wurden vom Payment Card Industry Security Standards Council (PCI SSC) festgelegt, das von gro\u00dfen Kreditkartenunternehmen wie Visa, MasterCard, American Express, Discover und JCB International gegr\u00fcndet wurde, um den sicheren Umgang mit Karteninhaberdaten zu gew\u00e4hrleisten.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">PCI DSS, oder einfach PCI, wurde 2006 eingef\u00fchrt und tr\u00e4gt dazu bei, die Kontosicherheit w\u00e4hrend des gesamten Transaktionsprozesses aufrechtzuerhalten, die Kontrolle \u00fcber\u00a0Karteninhaberdaten zu verbessern, Kreditkartenbetrug zu reduzieren und die <\/span><a href=\"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-security\/was-ist-compliance-management-definition-bedeutung\/\"><span style=\"font-weight: 400;\">Compliance-Management zu optimieren<\/span><\/a><span style=\"font-weight: 400;\">.\u00a0<\/span><\/p>\n<h2>PCI DSS v.4.0: Was ist neu und welche Version sollten Sie verwenden?<\/h2>\n<p>PCI DSS 4.0, ver\u00f6ffentlicht im M\u00e4rz 2022, ist die neueste Version des Standards. Sie stellt eine bedeutende Weiterentwicklung von PCI DSS 3.2.1 dar, da sie einen flexibleren und individuelleren Ansatz f\u00fcr die Einhaltung und Aufrechterhaltung der Vorschriften einf\u00fchrt. Dadurch wird ein st\u00e4rkerer Schwerpunkt auf die kontinuierliche Sicherheit gelegt und modernen Bedrohungen besser begegnet.<\/p>\n<p>Sie k\u00f6nnen alle \u00c4nderungen in der\u00a0<a href=\"https:\/\/east.pcisecuritystandards.org\/document_library\" target=\"_blank\" rel=\"noopener\">offiziellen PCI-Dokumentenbibliothek<\/a> nachlesen, aber einige der wichtigsten \u00c4nderungen sind:<\/p>\n<ul>\n<li>Kundenspezifische Validierung: Unternehmen k\u00f6nnen alternative Kontrollen einf\u00fchren, um Sicherheitsziele zu erreichen, solange sie deren Wirksamkeit nachweisen k\u00f6nnen.<\/li>\n<li>Erweiterte Authentifizierungsanforderungen: Strengere Anforderungen f\u00fcr die Multi-Faktor-Authentifizierung (MFA) \u00fcber administrative und entfernte Zugangspunkte.<\/li>\n<li>Verbesserte Verschl\u00fcsselung und Schl\u00fcsselverwaltung: Strengere Kontrollen der Verschl\u00fcsselung, Speicherung und \u00dcbertragung sensibler Daten.<\/li>\n<li>Erh\u00f6hte Pr\u00fcfh\u00e4ufigkeit: F\u00f6rdert h\u00e4ufigere Tests und die Sicherheits\u00fcberpr\u00fcfung in Echtzeit.<\/li>\n<\/ul>\n<p>\u26a0\ufe0f\u00a0<strong>PCI DSS 3.2.1 wurde im M\u00e4rz 2024 offiziell au\u00dfer Kraft gesetzt. Unternehmen m\u00fcssen sich jetzt an 4.0 halten.\u00a0<\/strong><\/p>\n<h2>Wer muss PCI-konform sein?<\/h2>\n<p>PCI-Compliance wird oft mit Einzelhandelsmarken oder E-Commerce-Unternehmen in Verbindung gebracht, aber der Anwendungsbereich ist viel breiter.<\/p>\n<p>PCI-Compliance betrifft:<\/p>\n<ul>\n<li><strong>H\u00e4ndler:\u00a0<\/strong>Dazu geh\u00f6ren alle Unternehmen oder Organisationen, die Kartenzahlungen akzeptieren, sei es online, in Gesch\u00e4ften, per Telefon oder \u00fcber mobile Apps. Auch kleine H\u00e4ndler mit geringem Transaktionsvolumen m\u00fcssen die PCI DSS-Anforderungen erf\u00fcllen, um die Sicherheit der Karteninhaberdaten ihrer Kunden zu gew\u00e4hrleisten.<\/li>\n<li><strong>Dienstleister:\u00a0<\/strong>Unternehmen, die Karteninhaberdaten im Auftrag anderer speichern, verarbeiten oder \u00fcbertragen, wie zum Beispiel Zahlungsabwickler, Rechenzentren oder Hosting-Anbieter, gelten als Dienstleister und m\u00fcssen die PCI-Standards einhalten.<\/li>\n<li><strong>Managed Service Provider (MSPs):<\/strong>\u00a0MSPs, die die IT-Infrastruktur von Kunden verwalten, die mit Karteninhaberdaten umgehen, unterliegen ebenfalls den Anforderungen des PCI DSS. Selbst wenn sie nicht direkt Kartenzahlungen abwickeln, haben sie oft Zugang zu Systemen und Netzwerken, die dies tun, was die Compliance entscheidend macht.<\/li>\n<li><strong>IT-Expert:innen:<\/strong>\u00a0Jeder, der f\u00fcr die Konfiguration oder Verwaltung von Netzwerken, Endpunkten oder Servern in einer Zahlungsumgebung verantwortlich ist, muss sicherstellen, dass seine Systeme die PCI-Anforderungen erf\u00fcllen, von\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/blog\/was-ist-eine-firewall\/\">Firewalls<\/a>\u00a0bis zu Verschl\u00fcsselungsprotokollen.<\/li>\n<li><strong>Software-Anbieter und -Entwickler:innen:\u00a0<\/strong>Wenn Sie Kassensysteme, E-Commerce-Plattformen oder zahlungsbezogene Anwendungen entwickeln, m\u00fcssen Sie sicherstellen, dass Ihre Software die PCI DSS-Anforderungen erf\u00fcllt. Eine Sicherheitsl\u00fccke in Ihrer Software k\u00f6nnte Tausende von Unternehmen einem Risiko aussetzen.<\/li>\n<li><strong>Externe Zahlungsabwickler:\u00a0<\/strong>W\u00e4hrend viele Unternehmen die Zahlungsabwicklung an Drittanbieter wie Stripe, Square oder PayPal auslagern, m\u00fcssen diese Anbieter selbst die PCI-Compliance einhalten. Au\u00dferdem sind die H\u00e4ndler, die diese Dienste benutzen, weiterhin mitverantwortlich f\u00fcr den Datenschutz.<\/li>\n<\/ul>\n<p>\u26a0\ufe0f\u00a0<em>Es sei darauf hingewiesen, dass es sich bei PCI DSS um einen internationalen Sicherheitsstandard handelt. Das bedeutet, dass sie nicht auf ein bestimmtes Land oder eine bestimmte Region beschr\u00e4nkt ist, sondern weltweit angewendet wird.\u00a0<\/em><\/p>\n<h2>Warum ist die Einhaltung der PCI-Vorschriften wichtig?<\/h2>\n<p>Viel wurde dar\u00fcber gesagt, dass\u00a0<a href=\"https:\/\/www2.deloitte.com\/content\/dam\/insights\/us\/articles\/data-as-the-new-currency\/DR13_data_as_the_new_currency2.pdf\" target=\"_blank\" rel=\"noopener\">Daten die neue W\u00e4hrung<\/a>\u00a0im digitalen Zeitalter sind. Aber was ist mit Daten\u00a0<em>\u00fcber<\/em>\u00a0W\u00e4hrungen? Die Bedeutung der PCI-Compliance geht weit \u00fcber das Ankreuzen von Vorschriften hinaus. Es hilft Unternehmen bei:<\/p>\n<ul>\n<li>Schutz sensibler Zahlungsdaten vor Verst\u00f6\u00dfen und Diebstahl.<\/li>\n<li>Schaffung von Vertrauen bei Kunden und Partnern durch das Engagement f\u00fcr den Datenschutz.<\/li>\n<li>Vermeidung von Geldstrafen und Bu\u00dfgeldern, die finanziell verheerend sein k\u00f6nnen.<\/li>\n<li>Verhinderung rechtlicher Konsequenzen und Rufsch\u00e4digung durch\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-a-data-breach\/\">Datenschutzverletzungen<\/a>.<\/li>\n<li>Verbesserung der Sicherheitslage, indem Sie sich an allgemein anerkannten Best Practices orientieren.<\/li>\n<\/ul>\n<p>Angesichts der exponentiellen Zunahme digitaler Transaktionen ist die Gew\u00e4hrleistung der Sicherheit sensibler Karteninhaberdaten von gr\u00f6\u00dfter Bedeutung. Die Einhaltung der PCI-Richtlinien verhindert Datenschutzverletzungen, verringert das Risiko finanzieller Verluste und st\u00e4rkt das Vertrauen der Kunden. Kunden sind eher bereit, mit Unternehmen Gesch\u00e4fte zu machen, die der Datensicherheit Priorit\u00e4t einr\u00e4umen.<\/p>\n<p>Dar\u00fcber hinaus ist die Einhaltung von PCI DSS f\u00fcr jedes Unternehmen, die mit Karteninhaberdaten arbeitet, obligatorisch. Einer der Standards im Rahmen von PCI ist\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-security\/was-ist-pa-dss\/\">PA-DSS<\/a>,\u00a0der sicherstellt, dass Anbieter, die Zahlungsanwendungen f\u00fcr Dritte entwickeln, keine sensiblen Kreditkartendaten speichern. Die Nichteinhaltung der Vorschriften kann zu hohen Geldstrafen und Bu\u00dfgeldern sowie zum Verlust der M\u00f6glichkeit f\u00fchren, Kartenzahlungen zu verarbeiten. Die Einhaltung der PCI-Richtlinien ist daher von entscheidender Bedeutung f\u00fcr den Erhalt des guten Rufs, der finanziellen Stabilit\u00e4t und der Kundenbeziehungen eines Unternehmens.<\/p>\n<h2>Die 7 Kernprinzipien von PCI DSS<\/h2>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"size-full wp-image-461205 aligncenter\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/05\/N1-0921-What-Is-PCI-Compliance_-Blog-Optimization-graphic3-DE.png\" alt=\"Die 7 Kernprinzipien von PCI DSS\" width=\"808\" height=\"737\" \/><\/p>\n<p>PCI DSS basiert auf einer Reihe von Grundprinzipien, die die Entwicklung einer sicheren Umgebung f\u00fcr Karteninhaberdaten unterst\u00fctzen. Wir haben sieben von ihnen aufgelistet.<\/p>\n<h3>1. Aufbau und Aufrechterhaltung eines sicheren Netzwerks<\/h3>\n<p>Router und\u00a0<a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-a-firewall-configuration\/\">Firewall-Konfigurationen<\/a>\u00a0bilden die erste Verteidigungslinie gegen Cyber-Kriminelle. Bei diesem Prinzip geht es vor allem darum, den unbefugten Zugriff auf Karteninhaberdaten zu verhindern, indem die Zugangspunkte zum Netzwerk und die Infrastruktur gesichert werden.<\/p>\n<h3>2. Schutz von Karteninhaberdaten<\/h3>\n<p>Die Daten der Karteninhaber m\u00fcssen sowohl bei der \u00dcbertragung als auch\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-management\/what-is-data-at-rest\/\">im Ruhezustand<\/a> verschl\u00fcsselt werden. Der Schutz dieser Daten sorgt daf\u00fcr, dass sie, selbst wenn sie von Unbefugten abgefangen oder eingesehen werden, nicht in b\u00f6ser Absicht verwendet werden k\u00f6nnen.<\/p>\n<h3>3. Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen<\/h3>\n<p>Regelm\u00e4\u00dfige Updates von Antiviren-Softwarel\u00f6sungen, Betriebssystemen und Anwendungen helfen, bekannte Bedrohungen abzuwehren. Ein strukturierter Ansatz f\u00fcr das\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/blog\/was-ist-schwachstellen-management\/\">Schwachstellenmanagement<\/a>\u00a0minimiert das Risiko eines Angriffs durch veraltete oder nicht gepatchte Systeme. Sie k\u00f6nnen auch ein Tool zur Verwaltung und Behebung von Schwachstellen in Erw\u00e4gung ziehen, wie zum Beispiel\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/schwachstellen-management\/\">NinjaOne<\/a>\u00a0, das Ihnen dabei hilft, Probleme beim Patching von Endpunkten schnell zu erkennen und zu beheben.<\/p>\n<h3>4. Einf\u00fchrung strenger Zugangskontrollma\u00dfnahmen<\/h3>\n<p>Nur befugtes Personal sollte auf Karteninhaberdaten zugreifen k\u00f6nnen. Die Zugangskontrollen sollten auf dem\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-security\/was-ist-least-privilege-zugriff\/\">Prinzip der Minimalprivilegien<\/a> beruhen, wobei Mechanismen wie rollenbasierte Berechtigungen zur Beschr\u00e4nkung des Zugangs eingesetzt werden sollten.<\/p>\n<h3>5. Regelm\u00e4\u00dfige \u00dcberwachung und Pr\u00fcfung der Netzwerke<\/h3>\n<p>Laufende \u00dcberwachung und Netzwerkteste helfen dabei, potenzielle Verst\u00f6\u00dfe fr\u00fchzeitig zu erkennen. Protokollierung,\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-vulnerability-scanning\/\">Schwachstellen-Scans<\/a> und\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/blog\/was-sind-penetrationstests\/\">Penetrationstests<\/a>\u00a0sorgen f\u00fcr Transparenz und helfen Unternehmen zu \u00fcberpr\u00fcfen, ob die Sicherheitskontrollen wie vorgesehen funktionieren.\u00a0<em>Wir empfehlen die Lekt\u00fcre des Leitfadens, <\/em><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/penetration-testing-vs-schwachstellenscanning\/\"><em>\u201cPenetration Testing vs. Schwachstellenscanning\u201c<\/em><\/a><em> als zus\u00e4tzliche Ressource.\u00a0<\/em><\/p>\n<h3>6. Aufrechterhaltung einer Informationssicherheitsrichtlinie<\/h3>\n<p>Eine dokumentierte, unternehmensweite Richtlinie gibt den Ton f\u00fcr eine\u00a0<a href=\"https:\/\/www.ninjaone.com\/blog\/building-a-culture-of-security-practical-tips-to-spot-a-phish\/\">Sicherheitskultur<\/a> an. Dieses Prinzip erfordert, dass Unternehmen ihre Sicherheitspraktiken, Rollen, Verantwortlichkeiten und Erwartungen formalisieren und kommunizieren.<\/p>\n<h3>7. F\u00f6rderung des Sicherheitsbewusstseins und der Verantwortlichkeit<\/h3>\n<p>Sicherheit ist nicht nur eine technische Frage, sondern sie erfordert st\u00e4ndige Wachsamkeit. Durch die Schulung der Mitarbeiter:innen, die Zuweisung von Verantwortlichkeiten und die Festlegung einer Verantwortungskette wird sichergestellt, dass die Einhaltung der PCI-Richtlinien im gesamten Unternehmen gemeinsam verantwortet wird.\u00a0<em>Wir empfehlen den Leitfaden <\/em><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/moderne-cyber-sicherheitsstrategie-entwickeln\/\"><em>\u201eWie man eine moderne Cyber-Sicherheitsstrategie f\u00fcr IT-Abteilungen entwickelt\u201c<\/em><\/a><em> f\u00fcr weitere Informationen.<\/em><\/p>\n<h2>Was ist eine PCI-Compliance-Zertifizierung?<\/h2>\n<p><span style=\"font-weight: 400;\">Die PCI-Compliance-Zertifizierung ist eine von einem externen Pr\u00fcfer ausgestellte Best\u00e4tigung, dass Ihr Unternehmen den PCI DSS-Standard einh\u00e4lt. Der Zertifizierungsprozess umfasst eine Bewertung des Netzwerks und der Systeme Ihres Unternehmens, der Richtlinien, Verfahren und anderer relevanter Bereiche. Nach Abschluss dieser Pr\u00fcfung erh\u00e4lt Ihr Unternehmen eine Bescheinigung \u00fcber die Compliance.<\/span><\/p>\n<h2>PCI-Konformit\u00e4tsanforderungen<\/h2>\n<p><span style=\"font-weight: 400;\">PCI DSS umfasst 12 Anforderungen f\u00fcr die Verwaltung von Kundenkartendaten, die sich in sechs Kontrollziele gliedern lassen:<\/span><\/p>\n<p><b>1) Aufbau und Aufrechterhaltung eines sicheren Netzwerkes und sicherer Systeme:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a01.1. Installieren und halten Sie eine Firewall-Konfiguration zum Schutz von Karteninhaberdaten aufrecht.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a01.2. Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte f\u00fcr Systempassw\u00f6rter und andere Sicherheitsparameter.<\/span><\/p>\n<p><b>2) Schutz von Daten der Karteninhaber:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a02.1. Sch\u00fctzen Sie gespeicherte Karteninhaberdaten.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a02.2. Verschl\u00fcsseln Sie die \u00dcbertragung von Karteninhaberdaten \u00fcber offene, \u00f6ffentliche Netzwerke.<\/span><\/p>\n<p><b>3) Aufrechterhaltung eines <\/b><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/was-ist-schwachstellen-management\/\"><b>Schwachstellen-Management<\/b><\/a><b>-Programms:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a03.1. Sch\u00fctzen Sie alle Systeme vor Malware und aktualisieren Sie regelm\u00e4\u00dfig Ihre Antiviren-Software oder -Programme.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a03.2. Entwickeln und pflegen Sie sichere Systeme und Anwendungen.<\/span><\/p>\n<p><b>4) Umsetzung strenger Zugangskontrollma\u00dfnahmen:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a04.1. Beschr\u00e4nken Sie den Zugriff auf Karteninhaberdaten entsprechend den gesch\u00e4ftlichen Erfordernissen.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a04.2. Identifizieren und setzen Sie Authentifizierungsmethoden beim Zugang zu Systemkomponenten durch.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a04.3. Beschr\u00e4nken Sie den physischen Zugang zu Karteninhaberdaten.<\/span><\/p>\n<p><b>5) Regelm\u00e4\u00dfige \u00dcberwachung und Pr\u00fcfung der Netzwerke:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a05.1. Verfolgen und \u00fcberwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a05.2. Pr\u00fcfen Sie die Sicherheitssysteme und -verfahren regelm\u00e4\u00dfig.<\/span><\/p>\n<p><b>6) Durchsetzung einer Informationssicherheitsrichtlinie:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a06.1. F\u00fchren Sie eine Richtlinie ein, die die Informationssicherheit f\u00fcr alle Mitarbeiter:innen regelt.<\/span><\/p>\n<h2>Checkliste zur PCI-Einhaltung<\/h2>\n<p>Wir haben eine Checkliste erstellt, die Ihnen hilft, die PCI-Compliance zu erreichen. Wir haben sie in Schl\u00fcssels\u00e4tze gegliedert, die alle technischen, administrativen und verfahrenstechnischen Anforderungen abdecken. Diese Liste ist zwar nicht vollst\u00e4ndig, sollte aber als guter Ausgangspunkt f\u00fcr Ihren MSP dienen.<\/p>\n<ol>\n<li>Umfangsdefinition und Entdeckung\n<ul>\n<li>Stellen Sie fest, wo Karteninhaberdaten empfangen, verarbeitet, gespeichert und \u00fcbermittelt werden.<\/li>\n<li>Dokumentieren Sie alle Systeme, Ger\u00e4te und Mitarbeiter:innen, die an der Verarbeitung von Karteninhaberdaten beteiligt sind.<\/li>\n<\/ul>\n<\/li>\n<li>Bestimmen Sie die Anforderungen an die Einhaltung der Vorschriften.\n<ul>\n<li>Ermitteln Sie Ihre PCI DSS-H\u00e4ndlerstufe anhand des Transaktionsvolumens.<\/li>\n<li>Bestimmen Sie, welcher Selbstbewertungsfragebogen (SAQ) auf Ihr Unternehmen zutrifft.<\/li>\n<li>Beauftragen Sie einen qualifizierten Sicherheitsgutachter (QSA), falls erforderlich.<\/li>\n<li>Planen Sie ggf. Schwachstellen-Scans mit einem zugelassenen Scanning-Anbieter (ASV).<\/li>\n<\/ul>\n<\/li>\n<li>Implementieren Sie Sicherheitskontrollen.\n<ul>\n<li>Installieren und halten Sie Firewalls zum Schutz von Karteninhaberdaten aufrecht.<\/li>\n<li>Verschl\u00fcsseln Sie Karteninhaberdaten bei der \u00dcbertragung \u00fcber offene oder \u00f6ffentliche Netzwerke<\/li>\n<li>Speichern Sie Karteninhaberdaten in sicheren Speichern und begrenzen Sie die Speicherdauer.<\/li>\n<li>Stellen Sie\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-security\/was-ist-anti-malware\/\">Anti-Malware-<\/a>\u00a0und Antivirus-L\u00f6sungen bereit und warten Sie diese.<\/li>\n<li>Halten Sie alle Systeme und Anwendungen mit Patches auf dem neuesten Stand.<\/li>\n<li>Beschr\u00e4nken Sie den Zugriff auf Karteninhaberdaten entsprechend den gesch\u00e4ftlichen Erfordernissen.<\/li>\n<\/ul>\n<\/li>\n<li>\u00dcberwachung und Pr\u00fcfung\n<ul>\n<li>Verfolgen und protokollieren Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten<\/li>\n<li>\u00dcberwachen Sie Protokolle t\u00e4glich auf Anomalien oder unbefugten Zugriff.<\/li>\n<li>F\u00fchren Sie regelm\u00e4\u00dfig Penetrationstests und Schwachstellen-Scans durch.<\/li>\n<li>Pr\u00fcfen Sie Sicherheitssysteme und -verfahren mindestens viertelj\u00e4hrlich.<\/li>\n<\/ul>\n<\/li>\n<li>Richtlinien und Training\n<ul>\n<li>Erstellen Sie eine formelle Informationssicherheitsrichtlinie und \u00fcberpr\u00fcfen Sie diese j\u00e4hrlich.<\/li>\n<li>Schulen Sie Mitarbeiter:innen und Auftragnehmern in Bezug auf PCI DSS-Verantwortlichkeiten und Sicherheitsbewusstsein.<\/li>\n<li>F\u00fchren Sie dokumentierte Verfahren f\u00fcr die\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-incident-response\/\">Reaktion auf Vorf\u00e4lle<\/a>. Wir haben eine\u00a0<a href=\"https:\/\/www.ninjaone.com\/de\/ressourcen\/\">MSP Ransomware-Reaktionsplanungs-Checkliste<\/a>\u00a0erstellt, wenn Sie eine eingehendere Erkl\u00e4rung w\u00fcnschen.<\/li>\n<li>Weisen Sie Personal zur \u00dcberwachung der Compliance-Verantwortlichkeiten zu.<\/li>\n<\/ul>\n<\/li>\n<li>Validierung und Berichterstellung\n<ul>\n<li>F\u00fcllen Sie den entsprechenden Selbstbewertungsfragebogen (SAQ) aus und reichen Sie ihn ein.<\/li>\n<li>Bewahren Sie die Dokumentation zur Einhaltung der Vorschriften und die Scanergebnisse f\u00fcr Pr\u00fcfungszwecke auf.<\/li>\n<li>Planen Sie j\u00e4hrliche \u00dcberpr\u00fcfungen und Neubewertungen, um die Compliance zu gew\u00e4hrleisten.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<h2>Was passiert, wenn Sie den PCI DSS nicht einhalten?<\/h2>\n<p>Die Nichteinhaltung von PCI kann zu folgenden Konsequenzen f\u00fchren:<\/p>\n<ul>\n<li><strong>Bu\u00dfgelder und Strafen:\u00a0<\/strong>Unternehmen, die die Vorschriften nicht einhalten, m\u00fcssen mit hohen Bu\u00dfgeldern rechnen, die je nach Gr\u00f6\u00dfe des Unternehmens, der Anzahl der betroffenen Kunden sowie der Dauer und dem Ausma\u00df der Nichteinhaltung der Vorschriften Hunderte von Millionen Dollar betragen k\u00f6nnen.<\/li>\n<li><strong>H\u00f6here Transaktionsgeb\u00fchren:\u00a0<\/strong>Zahlungsabwickler k\u00f6nnen von Unternehmen, die nicht PCI-konform sind, h\u00f6here Transaktionsgeb\u00fchren verlangen. Mit diesen Geb\u00fchren wollen die Banken das erh\u00f6hte Risiko ausgleichen, das sich aus dem Umgang mit nicht konformen H\u00e4ndlern ergibt.<\/li>\n<li><strong>Rufsch\u00e4digung:\u00a0<\/strong>Eine bekannt gewordene Sicherheitsverletzung kann den Ruf Ihres Brands schwer sch\u00e4digen und das Vertrauen Ihrer Kunden untergraben. Kunden sind eher geneigt, Unternehmen zu verlassen, die ihre pers\u00f6nlichen und finanziellen Daten nicht sch\u00fctzen.<\/li>\n<\/ul>\n<h2>Vorteile der PCI-Compliance<\/h2>\n<h3><b>Verbesserte Sicherheit<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Die PCI-Compliance sorgt f\u00fcr mehr Sicherheit, indem sie strenge Standards festlegt, die den Unternehmen helfen, die Daten ihrer Kunden zu sch\u00fctzen. Sie stellt sicher, dass die Unternehmen \u00fcber die notwendigen Sicherheitsvorkehrungen verf\u00fcgen, um Datenverletzungen zu verhindern und die Vertraulichkeit und Integrit\u00e4t sensibler Informationen zu wahren.<\/span><\/p>\n<h3><b>Vertrauen der Kunden<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Ein PCI-konformes Unternehmen zeigt seinen Kunden, dass ihre Daten ernst genommen und sicher behandelt werden. Dies schafft Vertrauen, das f\u00fcr die Kundenbindung und -treue von entscheidender Bedeutung ist, und kann im Laufe der Zeit zu mehr Gesch\u00e4ft f\u00fchren.<\/span><\/p>\n<h3><b>Vermeidung von Sanktionen<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Die Nichteinhaltung der PCI-Standards kann zu erheblichen Geldstrafen und Bu\u00dfgeldern seitens der Zahlungskartenanbieter f\u00fchren. Indem sie PCI-konform sind, k\u00f6nnen Unternehmen diese finanziellen Fallstricke vermeiden und einen unterbrechungsfreien Betrieb und finanzielle Stabilit\u00e4t gew\u00e4hrleisten.<\/span><\/p>\n<h3><b>Wettbewerbsvorteil<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">In einem wettbewerbsintensiven Markt kann die Einhaltung der PCI-Vorschriften einen erheblichen Vorteil darstellen. Kunden, die sich der Datensicherheit bewusst sind, werden es vorziehen, mit einem Unternehmen Gesch\u00e4fte zu machen, das PCI-konform ist, wodurch sie m\u00f6glicherweise mehr Kunden anziehen und ihren Marktanteil erh\u00f6hen k\u00f6nnen.<\/span><\/p>\n<h3><b>Einhaltung von Vorschriften<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Die PCI-Compliance stellt sicher, dass Unternehmen die von Regierungs- und Aufsichtsbeh\u00f6rden erlassenen Vorschriften einhalten. Auf diese Weise k\u00f6nnen potenzielle rechtliche Probleme vermieden und reibungslosere Gesch\u00e4ftsabl\u00e4ufe gew\u00e4hrleistet werden, was zum Gesamterfolg des Unternehmens beitr\u00e4gt.\u00a0<\/span><\/p>\n<h2>Herausforderungen bei der PCI-Compliance<\/h2>\n<h3>Komplexit\u00e4t<\/h3>\n<p>Das PCI DSS-Framework umfasst Hunderte von technischen und administrativen Anforderungen. Selbst mit der von uns erstellten und oben beschriebenen Checkliste kann es immer noch \u00fcberw\u00e4ltigend sein. Um zu verstehen, welche Anforderungen gelten und wie man sie richtig umsetzt, kann eine umfangreiche Planung erforderlich sein.<\/p>\n<h3>Begrenzte Ressourcen<\/h3>\n<p>Kleinere Unternehmen verf\u00fcgen m\u00f6glicherweise nicht \u00fcber die finanziellen und personellen Ressourcen, die f\u00fcr die Einhaltung der PCI-Vorschriften erforderlich sind. Um die Vorschriften einzuhalten, m\u00fcssen Sie m\u00f6glicherweise mehrere Berater:innen einstellen und in Sicherheitstools investieren, was sehr kostspielig sein kann.<\/p>\n<h3>Ver\u00e4nderte Umgebungen<\/h3>\n<p>IT-Umgebungen sind selten statisch, also k\u00f6nnen wir nicht erwarten, dass die Konformit\u00e4tsstandards auch so bleiben. Cloud-Migrationen, neue Anwendungen und ver\u00e4nderte Architekturen k\u00f6nnen den PCO-Bereich erweitern und ver\u00e4ndern. Die \u00c4nderungen erfordern eine kontinuierliche \u00dcberwachung und Neubewertung, um sicherzustellen, dass nicht versehentlich gegen die Vorschriften versto\u00dfen wird.<\/p>\n<h3>Von Drittanbietern stammenden Risiken<\/h3>\n<p>Viele Unternehmen verlassen sich bei der Verwaltung von Teilen ihrer Karteninhaberdaten-Umgebung auf Anbieter und Dienstleister. Es ist wichtig, dass Ihr Anbieter auch PCI-konform ist, um das Risiko von Verst\u00f6\u00dfen zu verringern. Es ist ein Irrglaube, dass das Outsourcing der Zahlungsabwicklung die PCI-Verantwortung vollst\u00e4ndig auf den Anbieter \u00fcbertr\u00e4gt. In Wirklichkeit sind H\u00e4ndler immer noch daf\u00fcr verantwortlich, dass die Daten der Karteninhaber in ihrer gesamten Umgebung gesch\u00fctzt sind.<\/p>\n<h2>H\u00e4ufig gestellte Fragen (FAQs)<\/h2>\n<ul>\n<li><strong>Ist die Einhaltung von PCI gesetzlich vorgeschrieben?<\/strong><\/li>\n<\/ul>\n<p>Nein, PCI DSS ist kein Gesetz, aber es wird von den gro\u00dfen Kreditkartenherstellern vorgeschrieben und von den akquirierenden Banken und Zahlungsabwicklern durchgesetzt. Die Nichteinhaltung der Vorschriften kann jedoch erhebliche finanzielle und betriebliche Sanktionen nach sich ziehen.<\/p>\n<ul>\n<li><strong>Wie oft muss ich die PCI-Compliance \u00fcberpr\u00fcfen?<\/strong><\/li>\n<\/ul>\n<p>Die Validierungsanforderungen h\u00e4ngen von der Stufe Ihres H\u00e4ndlers ab. H\u00f6here Ebenen m\u00fcssen viertelj\u00e4hrliche Netzwerk-Scans durch einen ASV und ein j\u00e4hrliches Audit durchf\u00fchren.<\/p>\n<ul>\n<li><strong>Bin ich durch den Einsatz eines externen Zahlungsverarbeiters PCI-konform?\u00a0<\/strong><\/li>\n<\/ul>\n<p>Nein. Der Einsatz eines PCI-konformen Drittanbieters kann zwar Ihre PCI-Bewertung verbessern, entbindet Ihr Unternehmen aber nicht von seiner pers\u00f6nlichen Verantwortung. Sie m\u00fcssen dennoch sicherstellen, dass Ihre Systeme und Verfahren die geltenden PCI DSS-Anforderungen erf\u00fcllen.<\/p>\n<ul>\n<li><strong>M\u00fcssen kleine Unternehmen PCI DSS einhalten?<\/strong><\/li>\n<\/ul>\n<p>Ja. Alle Unternehmen, die Kreditkartenzahlungen akzeptieren, m\u00fcssen unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe und ihrem Volumen PCI DSS einhalten.<\/p>\n<ul>\n<li><strong>Was ist der Unterschied zwischen PCI DSS 3.2.1 und PCI DSS 4.0?<\/strong><\/li>\n<\/ul>\n<p>Mit PCI DSS 4.0 wird ein flexiblerer, risikobasierter Ansatz eingef\u00fchrt. Sie erm\u00f6glicht es Unternehmen, ma\u00dfgeschneiderte Sicherheitsstrategien einzusetzen, um ihre PCI-Ziele zu erreichen.<\/p>\n<h2>Der Wert der PCI-Compliance<\/h2>\n<p><span style=\"font-weight: 400;\">Die Einhaltung des PCI-Standards ist f\u00fcr jedes Unternehmen, das mit Kreditkartentransaktionen arbeitet, von entscheidender Bedeutung. Sie gew\u00e4hrleistet den sicheren Umgang mit sensiblen Informationen, sch\u00fctzt vor m\u00f6glichen finanziellen Verlusten und st\u00e4rkt das Vertrauen der Kunden. Auch wenn die Compliance entmutigend erscheinen mag, \u00fcberwiegen die Vorteile bei weitem den Aufwand. Unternehmen sollten die Einhaltung der PCI-Vorschriften nicht als Belastung, sondern als wesentlichen Bestandteil ihrer gesamten Gesch\u00e4ftsstrategie betrachten.<\/span><\/p>\n","protected":false},"author":72,"featured_media":174408,"parent":0,"template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"hub_categories":[4184],"class_list":["post-508722","content_hub","type-content_hub","status-publish","has-post-thumbnail","hentry","content_hub_category-endpoint-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/content_hub\/508722","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/content_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/content_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/72"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/174408"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=508722"}],"wp:term":[{"taxonomy":"content_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/hub_categories?post=508722"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}