Der Gründer-Guide zur PCI DSS Compliance Checkliste


Auf dieser Seite
Früher oder später fragt jeder Fintech-Gründer: Müssen wir uns wirklich um PCI DSS kümmern, oder ist das das Problem von jemand anderem, sobald wir Stripe nutzen? Die ehrliche Antwort liegt dazwischen. Wenn deine App irgendwo Kartendaten berührt, auch über ein PCI-validiertes Gateway, gilt PCI DSS für dich, und es zu ignorieren, bis ein Bankpartner nachfragt, ist der Grund, warum Startups wenige Wochen vor dem Launch ins Rotieren kommen. Dieser Guide führt durch eine praktische PCI DSS Compliance Checkliste: für wen der Standard gilt, was die 12 Anforderungen bedeuten, wie SAQ-Typen funktionieren und was sich mit PCI DSS 4.0 geändert hat. Nichts davon ersetzt einen Qualified Security Assessor für die formale Validierung, aber es bringt dich weiter als die Marketingseite eines Anbieters.
Was PCI DSS ist
PCI DSS steht für Payment Card Industry Data Security Standard: Anforderungen zum Schutz von Karteninhaberdaten, gepflegt vom PCI Security Standards Council (2006 gegründet von Visa, Mastercard, American Express, Discover und JCB). Was die meisten Gründer überrascht: Die Pflicht zu PCI DSS entsteht vertraglich statt per Gesetz, über die Vereinbarungen, die du mit deiner Bank, deinem Processor oder deinem Gateway unterschreibst. Verfehlst du den Standard, drohen Strafzahlungen der Kartenmarken, höhere Processing-Gebühren oder im schlimmsten Fall der Verlust der Möglichkeit, überhaupt Karten zu akzeptieren. Der Standard gilt für deine Cardholder Data Environment, kurz CDE: die Menschen, Prozesse und Technik, die Karteninhaberdaten speichern, verarbeiten oder übertragen, plus alles, was eng genug damit verbunden ist, um deren Sicherheit zu beeinflussen.
Für wen PCI DSS gilt
PCI DSS gilt für jede Organisation, die Karteninhaberdaten speichert, verarbeitet oder überträgt, oder die die Sicherheit einer Cardholder Data Environment beeinflussen kann. Dieses Netz ist absichtlich weit gespannt: Händler, Processor, Gateways und Software-Anbieter, deren Produkt an irgendeinem Punkt Kartendaten berührt, fallen alle darunter. Größe befreit dich davon nicht: Ein Zwei-Personen-Startup, das seine ersten hundert Transaktionen über Stripe abwickelt, ist in dem Moment im Scope, in dem eine echte Kartennummer durch sein System läuft. Größe und Volumen verändern, wie du Compliance nachweist; dazu gleich mehr. Wenn du gerade KYC- und AML-Anforderungen für ein Fintech-MVP scopest: PCI DSS ist die parallele Spur für Kartendaten, und beides taucht meist im selben Gespräch mit einem Bankpartner auf, oder in der breiteren Planung der Fintech-Softwareentwicklung.
Compliance-Level und SAQ-Typen
Kartennetzwerke sortieren Händler in vier Compliance-Level, überwiegend nach jährlichem Transaktionsvolumen (die Schwellen variieren leicht je Kartenmarke): Level 1 sind über sechs Millionen Transaktionen pro Jahr oder jeder Händler nach einem Breach, Level 2 sind eine bis sechs Millionen, Level 3 sind zwanzigtausend bis eine Million E-Commerce-Transaktionen, Level 4 ist alles darunter. Fast jedes Startup beginnt auf Level 4. Was du für den Compliance-Nachweis tun musst, hängt von deinem Level ab. Level-1-Händler brauchen in der Regel ein jährliches Vor-Ort-Assessment durch einen Qualified Security Assessor (QSA). Alle anderen bewerten sich typischerweise selbst, mit einem Self-Assessment Questionnaire, kurz SAQ: Ja-Nein-Fragen, gemappt auf die Anforderungen, die zu deinem Setup passen. Welchen SAQ du ausfüllst, hängt davon ab, wie Kartendaten zu dir gelangen, unabhängig von Branche oder Headcount. Ein paar engere Typen existieren auch (B, B-IP, C, P2PE); die Tabelle unten deckt ab, womit die meisten Startups zu tun haben.
| SAQ-Typ | Für wen er gedacht ist | Was er für dich bedeutet |
|---|---|---|
| SAQ A | Komplett ausgelagerter Hosted Checkout; Kartendaten berühren deine Server nie | Kürzester Fragebogen; das Ziel für die meisten Startups |
| SAQ A-EP | Checkout teilweise gehostet, aber dein Code berührt die Payment-Page noch | Mehr Prüfung, plus Schutz vor Manipulation |
| SAQ C-VT | Manuell eingegebene Transaktionen über ein virtuelles Terminal, keine Speicherung | Üblich für telefonische Rückerstattungen |
| SAQ D (Merchant) | Passt in keine engere Kategorie oder speichert Kartendaten direkt | Längster Fragebogen; alle 12 Kategorien komplett |
Ein schneller Realitätscheck: Wenn du nie die Kartennummer eines Kunden in irgendetwas anderes als das gehostete Feld eines Gateways getippt hast, bist du vermutlich im SAQ-A-Gebiet. In dem Moment, in dem dein eigener Code eine rohe Kartennummer berührt oder speichert, springt dein Scope nach oben. Prüf, welcher SAQ passt, statt einfach den bequemsten anzunehmen.
Die PCI DSS Compliance Checkliste (12 Anforderungen, vereinfacht)
Zieh die juristische Sprache ab, und die PCI DSS Compliance Checkliste reduziert sich auf zwölf Anforderungen über sechs Ziele. Du wirst kaum alle zwölf persönlich umsetzen; vieles liegt bei deinem Gateway, deinem Cloud-Anbieter oder deinem BaaS-Partner. Wisse trotzdem, was jede einzelne verlangt. 'Das übernimmt unser Anbieter' stimmt nur so lange, bis dich jemand bittet, es zu belegen.
| # | Anforderung | Was das in der Praxis heißt |
|---|---|---|
| 1 | Netzwerk-Sicherheitskontrollen installieren und pflegen | Firewalls oder gleichwertige Kontrollen zwischen Systemen und nicht vertrauenswürdigen Netzen |
| 2 | Sichere Konfigurationen anwenden | Keine Standard-Passwörter oder belassene Hersteller-Einstellungen |
| 3 | Gespeicherte Account-Daten schützen | Speichere keine Daten, die du nicht brauchst; CVV nach der Autorisierung nie speichern |
| 4 | Karteninhaberdaten bei der Übertragung schützen | Starke Verschlüsselung für Kartendaten über öffentliche Netze |
| 5 | Vor Malware schützen | Anti-Malware-Tooling auf Systemen, die betroffen sein könnten |
| 6 | Sichere Systeme und Software entwickeln und pflegen | Patching, Secure Coding und Change Control für die CDE |
| 7 | Zugriff nach Need-to-know beschränken | Zugriff begrenzt auf das, was jede Rolle wirklich braucht |
| 8 | Nutzer identifizieren und Zugriff authentifizieren | Eindeutige Logins und Multi-Faktor-Authentifizierung in die CDE |
| 9 | Physischen Zugang beschränken | Physische Kontrollen rund um Hardware, die Kartendaten verarbeitet |
| 10 | Zugriffe loggen und überwachen | Audit-Logs über Zugriffe auf Kartendaten, aufbewahrt und geprüft |
| 11 | Sicherheit regelmäßig testen | Schwachstellen-Scans und, wo nötig, vierteljährliche ASV-Scans |
| 12 | Mit organisatorischen Richtlinien absichern | Eine dokumentierte Security-Policy und ein formales Risk Assessment |
PCI-Scope reduzieren (Tokenisierung, Hosted Fields)
Der schnellste Hebel, um den PCI-Scope zu schrumpfen: Lass rohe Kartendaten nie deine eigenen Server berühren. Hosted Fields (ein Iframe oder Redirect, den das Gateway kontrolliert) und Tokenisierung tun genau das. Die Kartennummer des Kunden geht direkt ans Gateway; dein Backend sieht nur einen Token, nutzlos für jeden, der ihn stiehlt. Sauber umgesetzt bringt dich das vom schwersten Fragebogen, SAQ D, zum kürzesten, SAQ A. Wie das funktioniert, Tokenisierung eingeschlossen, behandeln wir im Guide zur Payment Gateway Integration. Scope-Reduktion hat Grenzen. Netzwerksegmentierung zählt auch mit Hosted Checkout; ein schlecht segmentiertes Netz kann unbeteiligte Systeme zurück in den Scope ziehen. Und den Checkout auszulagern lagert eben längst nicht alles aus: Ein Refund-Tool oder eine Tabelle mit einer hineinkopierten Kartennummer kann den Vorteil leise zunichtemachen.
Hol dir ein Festpreis-Angebot für dein PCI-fähiges MVP
Nenn uns dein Ziel-Gateway, deine Compliance-Anforderungen und dein Launchdatum. Du bekommst eine Zahl, eine Timeline und eine klare Linie zwischen dem, was wir bauen, und dem, was du anbindest.
Hol dir dein AngebotWas sich in PCI DSS 4.0 geändert hat
PCI DSS 3.2.1 wurde im März 2024 in Rente geschickt. Wenn ein Anbieter oder ein alter Blogpost noch von 3.2.1 spricht, ist das ein Zeichen, dass der Rat veraltet ist. Aktuell ist Version 4.0.1, ein Klarstellungs-Release zu 4.0, und inzwischen ist jede Anforderung verpflichtend, auch die, die anfangs bloß 'Best Practice' waren (diese Schonfrist endete am 31. März 2025). Ein paar Änderungen zählen für ein Startup mehr als der Rest. Multi-Faktor-Authentifizierung gilt jetzt für jeden Zugriff in die Cardholder Data Environment, deutlich über Remote- oder Admin-Zugriffe hinaus, und das Passwort-Minimum stieg von sieben auf zwölf Zeichen. Betreibst du einen E-Commerce-Checkout? Die neuen Anforderungen zu clientseitigem Script-Management und Manipulationsschutz auf der Payment-Page, gedacht gegen JavaScript-Skimming, verdienen selbst hinter einem gehosteten Gateway einen Blick. Der Standard führte außerdem einen 'Customized Approach' ein, um Anforderungen auf anderem Weg zu erfüllen, gestützt auf eine dokumentierte Risikoanalyse. Auf dem Papier flexibel; in der MVP-Phase fahren die meisten Startups mit dem klassischen Defined Approach trotzdem besser.
Compliance-Software füllt deinen SAQ zwar nie für dich aus, aber Tools wie Vanta, Drata und Secureframe sparen echte Zeit bei der Evidenzsammlung: Access-Reviews und Policy-Dokumente werden automatisch getrackt statt manuell zusammengesucht. Manche werben inzwischen mit KI-gestütztem Evidenz-Review, um Lücken schneller zu finden, nützlich für Fleißarbeit und kein Ersatz für das Urteil eines QSA.
Typische Startup-Fehler bei PCI DSS
Eine Handvoll Fehler taucht immer wieder auf, sobald wir den Payment-Stack eines Fintech-MVPs scopen. Das Speichern der CVV nach der Autorisierung führt die Liste an, meist in einem Support-Tool, das Rückerstattungen beschleunigen sollte. CVV-Speicherung ist nach der Autorisierung nie erlaubt, verschlüsselt oder nicht, Punkt. Kartennummern in Logs, Error-Trackern oder einer geteilten Tabelle kommen dicht danach, selten absichtlich: Ein Stacktrace erfasst einen rohen Request-Body, oder ein Support-Mitarbeiter kopiert eine Nummer in einen Chat-Thread, um eine fehlgeschlagene Abbuchung zu debuggen. Die Annahme, ein PCI-validiertes Gateway mache dich automatisch mit-compliant, ist ein weiterer Klassiker. Es reduziert den Scope erheblich, ein echter Vorteil, aber den passenden SAQ musst du trotzdem ausfüllen und unterschreiben. Und dann ist da Scope Creep: eine CDE, die sauber startet und Monate später ein Netz mit der Hälfte der Firmen-Tools teilt, weil niemand eine Grenze gezogen hat. Die breiteren Sicherheitspraktiken rund um all das findest du in unserem Guide zu MVP-Sicherheit und Skalierbarkeit.
Ein Fehler, den wir oft sehen: Ein Team geht davon aus, dass der SAQ nur einmal im Jahr angefasst werden muss, zur Verlängerung. In Wahrheit ist er ein lebendes Dokument. Bau ein Refund-Tool ein, wechsle das Gateway oder lass einen Contractor an die CDE, ohne die Verantwortlichkeiten zu aktualisieren, und deine Umgebung ist schon von dem abgedriftet, was du testiert hast.
PCI-Prioritäten in der MVP-Phase
Am ersten Tag verdient längst nicht jede Anforderung gleich viel Aufmerksamkeit. Wenn du gerade Payments für ein Fintech-MVP scopest, hier die grobe Reihenfolge für deine knappe Zeit:
- Leite alle Kartendaten ab Tag eins über Hosted Fields oder einen Redirect. Das nachzurüsten, nachdem dein eigener Code rohe Nummern berührt hat, kostet weit mehr, als es gleich richtig zu bauen.
- Klär, welcher SAQ gilt, bevor dein Bankpartner danach fragt.
- Setz jetzt eine unternehmensweite MFA- und Passwort-Baseline, auch zu dritt. Früh billig, später teuer nachzurüsten.
- Halte Kartendaten aus Logs, Support-Tools und Tabellen heraus, als harte Regel ab der ersten Zeile Payment-Code.
- Dokumentiere deine CDE-Grenze, und sei es als ein einzelnes Diagramm.
- Prüf den Scope neu, sobald ein Feature Payments anders berührt: Subscriptions, Auszahlungen oder manuelle Refunds erweitern ihn alle leise.
- Bau eine QSA-Beziehung auf, bevor du sie brauchst, besonders wenn Wachstum dich Richtung Level 1 schieben könnte.
Bekommst du die ersten drei Punkte richtig hin, wird der Rest spürbar leichter.
Tags
Früher oder später fragt jeder Fintech-Gründer: Müssen wir uns wirklich um PCI DSS kümmern, oder ist das das Problem von jemand anderem, sobald wir Stripe nutzen? Die ehrliche Antwort liegt dazwischen. Wenn deine App irgendwo Kartendaten berührt, auch über ein PCI-validiertes Gateway, gilt PCI DSS für dich, und es zu ignorieren, bis ein Bankpartner nachfragt, ist der Grund, warum Startups wenige Wochen vor dem Launch ins Rotieren kommen. Dieser Guide führt durch eine praktische PCI DSS Compliance Checkliste: für wen der Standard gilt, was die 12 Anforderungen bedeuten, wie SAQ-Typen funktionieren und was sich mit PCI DSS 4.0 geändert hat. Nichts davon ersetzt einen Qualified Security Assessor für die formale Validierung, aber es bringt dich weiter als die Marketingseite eines Anbieters.
Was PCI DSS ist
PCI DSS steht für Payment Card Industry Data Security Standard: Anforderungen zum Schutz von Karteninhaberdaten, gepflegt vom PCI Security Standards Council (2006 gegründet von Visa, Mastercard, American Express, Discover und JCB). Was die meisten Gründer überrascht: Die Pflicht zu PCI DSS entsteht vertraglich statt per Gesetz, über die Vereinbarungen, die du mit deiner Bank, deinem Processor oder deinem Gateway unterschreibst. Verfehlst du den Standard, drohen Strafzahlungen der Kartenmarken, höhere Processing-Gebühren oder im schlimmsten Fall der Verlust der Möglichkeit, überhaupt Karten zu akzeptieren. Der Standard gilt für deine Cardholder Data Environment, kurz CDE: die Menschen, Prozesse und Technik, die Karteninhaberdaten speichern, verarbeiten oder übertragen, plus alles, was eng genug damit verbunden ist, um deren Sicherheit zu beeinflussen.
Für wen PCI DSS gilt
PCI DSS gilt für jede Organisation, die Karteninhaberdaten speichert, verarbeitet oder überträgt, oder die die Sicherheit einer Cardholder Data Environment beeinflussen kann. Dieses Netz ist absichtlich weit gespannt: Händler, Processor, Gateways und Software-Anbieter, deren Produkt an irgendeinem Punkt Kartendaten berührt, fallen alle darunter. Größe befreit dich davon nicht: Ein Zwei-Personen-Startup, das seine ersten hundert Transaktionen über Stripe abwickelt, ist in dem Moment im Scope, in dem eine echte Kartennummer durch sein System läuft. Größe und Volumen verändern, wie du Compliance nachweist; dazu gleich mehr. Wenn du gerade KYC- und AML-Anforderungen für ein Fintech-MVP scopest: PCI DSS ist die parallele Spur für Kartendaten, und beides taucht meist im selben Gespräch mit einem Bankpartner auf, oder in der breiteren Planung der Fintech-Softwareentwicklung.
Compliance-Level und SAQ-Typen
Kartennetzwerke sortieren Händler in vier Compliance-Level, überwiegend nach jährlichem Transaktionsvolumen (die Schwellen variieren leicht je Kartenmarke): Level 1 sind über sechs Millionen Transaktionen pro Jahr oder jeder Händler nach einem Breach, Level 2 sind eine bis sechs Millionen, Level 3 sind zwanzigtausend bis eine Million E-Commerce-Transaktionen, Level 4 ist alles darunter. Fast jedes Startup beginnt auf Level 4. Was du für den Compliance-Nachweis tun musst, hängt von deinem Level ab. Level-1-Händler brauchen in der Regel ein jährliches Vor-Ort-Assessment durch einen Qualified Security Assessor (QSA). Alle anderen bewerten sich typischerweise selbst, mit einem Self-Assessment Questionnaire, kurz SAQ: Ja-Nein-Fragen, gemappt auf die Anforderungen, die zu deinem Setup passen. Welchen SAQ du ausfüllst, hängt davon ab, wie Kartendaten zu dir gelangen, unabhängig von Branche oder Headcount. Ein paar engere Typen existieren auch (B, B-IP, C, P2PE); die Tabelle unten deckt ab, womit die meisten Startups zu tun haben.
| SAQ-Typ | Für wen er gedacht ist | Was er für dich bedeutet |
|---|---|---|
| SAQ A | Komplett ausgelagerter Hosted Checkout; Kartendaten berühren deine Server nie | Kürzester Fragebogen; das Ziel für die meisten Startups |
| SAQ A-EP | Checkout teilweise gehostet, aber dein Code berührt die Payment-Page noch | Mehr Prüfung, plus Schutz vor Manipulation |
| SAQ C-VT | Manuell eingegebene Transaktionen über ein virtuelles Terminal, keine Speicherung | Üblich für telefonische Rückerstattungen |
| SAQ D (Merchant) | Passt in keine engere Kategorie oder speichert Kartendaten direkt | Längster Fragebogen; alle 12 Kategorien komplett |
Ein schneller Realitätscheck: Wenn du nie die Kartennummer eines Kunden in irgendetwas anderes als das gehostete Feld eines Gateways getippt hast, bist du vermutlich im SAQ-A-Gebiet. In dem Moment, in dem dein eigener Code eine rohe Kartennummer berührt oder speichert, springt dein Scope nach oben. Prüf, welcher SAQ passt, statt einfach den bequemsten anzunehmen.
Die PCI DSS Compliance Checkliste (12 Anforderungen, vereinfacht)
Zieh die juristische Sprache ab, und die PCI DSS Compliance Checkliste reduziert sich auf zwölf Anforderungen über sechs Ziele. Du wirst kaum alle zwölf persönlich umsetzen; vieles liegt bei deinem Gateway, deinem Cloud-Anbieter oder deinem BaaS-Partner. Wisse trotzdem, was jede einzelne verlangt. 'Das übernimmt unser Anbieter' stimmt nur so lange, bis dich jemand bittet, es zu belegen.
| # | Anforderung | Was das in der Praxis heißt |
|---|---|---|
| 1 | Netzwerk-Sicherheitskontrollen installieren und pflegen | Firewalls oder gleichwertige Kontrollen zwischen Systemen und nicht vertrauenswürdigen Netzen |
| 2 | Sichere Konfigurationen anwenden | Keine Standard-Passwörter oder belassene Hersteller-Einstellungen |
| 3 | Gespeicherte Account-Daten schützen | Speichere keine Daten, die du nicht brauchst; CVV nach der Autorisierung nie speichern |
| 4 | Karteninhaberdaten bei der Übertragung schützen | Starke Verschlüsselung für Kartendaten über öffentliche Netze |
| 5 | Vor Malware schützen | Anti-Malware-Tooling auf Systemen, die betroffen sein könnten |
| 6 | Sichere Systeme und Software entwickeln und pflegen | Patching, Secure Coding und Change Control für die CDE |
| 7 | Zugriff nach Need-to-know beschränken | Zugriff begrenzt auf das, was jede Rolle wirklich braucht |
| 8 | Nutzer identifizieren und Zugriff authentifizieren | Eindeutige Logins und Multi-Faktor-Authentifizierung in die CDE |
| 9 | Physischen Zugang beschränken | Physische Kontrollen rund um Hardware, die Kartendaten verarbeitet |
| 10 | Zugriffe loggen und überwachen | Audit-Logs über Zugriffe auf Kartendaten, aufbewahrt und geprüft |
| 11 | Sicherheit regelmäßig testen | Schwachstellen-Scans und, wo nötig, vierteljährliche ASV-Scans |
| 12 | Mit organisatorischen Richtlinien absichern | Eine dokumentierte Security-Policy und ein formales Risk Assessment |
PCI-Scope reduzieren (Tokenisierung, Hosted Fields)
Der schnellste Hebel, um den PCI-Scope zu schrumpfen: Lass rohe Kartendaten nie deine eigenen Server berühren. Hosted Fields (ein Iframe oder Redirect, den das Gateway kontrolliert) und Tokenisierung tun genau das. Die Kartennummer des Kunden geht direkt ans Gateway; dein Backend sieht nur einen Token, nutzlos für jeden, der ihn stiehlt. Sauber umgesetzt bringt dich das vom schwersten Fragebogen, SAQ D, zum kürzesten, SAQ A. Wie das funktioniert, Tokenisierung eingeschlossen, behandeln wir im Guide zur Payment Gateway Integration. Scope-Reduktion hat Grenzen. Netzwerksegmentierung zählt auch mit Hosted Checkout; ein schlecht segmentiertes Netz kann unbeteiligte Systeme zurück in den Scope ziehen. Und den Checkout auszulagern lagert eben längst nicht alles aus: Ein Refund-Tool oder eine Tabelle mit einer hineinkopierten Kartennummer kann den Vorteil leise zunichtemachen.
Hol dir ein Festpreis-Angebot für dein PCI-fähiges MVP
Nenn uns dein Ziel-Gateway, deine Compliance-Anforderungen und dein Launchdatum. Du bekommst eine Zahl, eine Timeline und eine klare Linie zwischen dem, was wir bauen, und dem, was du anbindest.
Hol dir dein AngebotWas sich in PCI DSS 4.0 geändert hat
PCI DSS 3.2.1 wurde im März 2024 in Rente geschickt. Wenn ein Anbieter oder ein alter Blogpost noch von 3.2.1 spricht, ist das ein Zeichen, dass der Rat veraltet ist. Aktuell ist Version 4.0.1, ein Klarstellungs-Release zu 4.0, und inzwischen ist jede Anforderung verpflichtend, auch die, die anfangs bloß 'Best Practice' waren (diese Schonfrist endete am 31. März 2025). Ein paar Änderungen zählen für ein Startup mehr als der Rest. Multi-Faktor-Authentifizierung gilt jetzt für jeden Zugriff in die Cardholder Data Environment, deutlich über Remote- oder Admin-Zugriffe hinaus, und das Passwort-Minimum stieg von sieben auf zwölf Zeichen. Betreibst du einen E-Commerce-Checkout? Die neuen Anforderungen zu clientseitigem Script-Management und Manipulationsschutz auf der Payment-Page, gedacht gegen JavaScript-Skimming, verdienen selbst hinter einem gehosteten Gateway einen Blick. Der Standard führte außerdem einen 'Customized Approach' ein, um Anforderungen auf anderem Weg zu erfüllen, gestützt auf eine dokumentierte Risikoanalyse. Auf dem Papier flexibel; in der MVP-Phase fahren die meisten Startups mit dem klassischen Defined Approach trotzdem besser.
Compliance-Software füllt deinen SAQ zwar nie für dich aus, aber Tools wie Vanta, Drata und Secureframe sparen echte Zeit bei der Evidenzsammlung: Access-Reviews und Policy-Dokumente werden automatisch getrackt statt manuell zusammengesucht. Manche werben inzwischen mit KI-gestütztem Evidenz-Review, um Lücken schneller zu finden, nützlich für Fleißarbeit und kein Ersatz für das Urteil eines QSA.
Typische Startup-Fehler bei PCI DSS
Eine Handvoll Fehler taucht immer wieder auf, sobald wir den Payment-Stack eines Fintech-MVPs scopen. Das Speichern der CVV nach der Autorisierung führt die Liste an, meist in einem Support-Tool, das Rückerstattungen beschleunigen sollte. CVV-Speicherung ist nach der Autorisierung nie erlaubt, verschlüsselt oder nicht, Punkt. Kartennummern in Logs, Error-Trackern oder einer geteilten Tabelle kommen dicht danach, selten absichtlich: Ein Stacktrace erfasst einen rohen Request-Body, oder ein Support-Mitarbeiter kopiert eine Nummer in einen Chat-Thread, um eine fehlgeschlagene Abbuchung zu debuggen. Die Annahme, ein PCI-validiertes Gateway mache dich automatisch mit-compliant, ist ein weiterer Klassiker. Es reduziert den Scope erheblich, ein echter Vorteil, aber den passenden SAQ musst du trotzdem ausfüllen und unterschreiben. Und dann ist da Scope Creep: eine CDE, die sauber startet und Monate später ein Netz mit der Hälfte der Firmen-Tools teilt, weil niemand eine Grenze gezogen hat. Die breiteren Sicherheitspraktiken rund um all das findest du in unserem Guide zu MVP-Sicherheit und Skalierbarkeit.
Ein Fehler, den wir oft sehen: Ein Team geht davon aus, dass der SAQ nur einmal im Jahr angefasst werden muss, zur Verlängerung. In Wahrheit ist er ein lebendes Dokument. Bau ein Refund-Tool ein, wechsle das Gateway oder lass einen Contractor an die CDE, ohne die Verantwortlichkeiten zu aktualisieren, und deine Umgebung ist schon von dem abgedriftet, was du testiert hast.
PCI-Prioritäten in der MVP-Phase
Am ersten Tag verdient längst nicht jede Anforderung gleich viel Aufmerksamkeit. Wenn du gerade Payments für ein Fintech-MVP scopest, hier die grobe Reihenfolge für deine knappe Zeit:
- Leite alle Kartendaten ab Tag eins über Hosted Fields oder einen Redirect. Das nachzurüsten, nachdem dein eigener Code rohe Nummern berührt hat, kostet weit mehr, als es gleich richtig zu bauen.
- Klär, welcher SAQ gilt, bevor dein Bankpartner danach fragt.
- Setz jetzt eine unternehmensweite MFA- und Passwort-Baseline, auch zu dritt. Früh billig, später teuer nachzurüsten.
- Halte Kartendaten aus Logs, Support-Tools und Tabellen heraus, als harte Regel ab der ersten Zeile Payment-Code.
- Dokumentiere deine CDE-Grenze, und sei es als ein einzelnes Diagramm.
- Prüf den Scope neu, sobald ein Feature Payments anders berührt: Subscriptions, Auszahlungen oder manuelle Refunds erweitern ihn alle leise.
- Bau eine QSA-Beziehung auf, bevor du sie brauchst, besonders wenn Wachstum dich Richtung Level 1 schieben könnte.
Bekommst du die ersten drei Punkte richtig hin, wird der Rest spürbar leichter.
Tags

Auf dieser Seite




