PCI-DSS-Compliance für Cloud-native Banking 2026
Ein praxisnaher Leitfaden zu PCI DSS v4.0 für Fintechs und Cloud-native Banken in Deutschland und dem DACH-Raum: Wer muss compliant sein, die 12 Anforderungen kompakt, Kubernetes und Container-Umgebungen, Scope-Reduktion durch Tokenisierung und Segmentierung, SAQ vs. ROC und das Zusammenspiel mit BaFin-BAIT und DSGVO.
Was ist PCI DSS und wer muss compliant sein?
PCI DSS - der Payment Card Industry Data Security Standard - ist ein globales Regelwerk für technische und organisatorische Sicherheitsmaßnahmen. Es gilt für jedes Unternehmen, das Kartendaten speichert, verarbeitet oder überträgt. Herausgeber ist der PCI Security Standards Council, gegründet von Visa, Mastercard, American Express, Discover und JCB.
Wer eine Primärkontennummer (PAN) in irgendeiner Form berührt, fällt unter PCI DSS. Das umfasst Kartenausgeber, Zahlungsabwickler, Acquiring-Banken, Fintech-Plattformen mit Kartentransaktionen sowie SaaS-Dienste, die im Datenpfad zwischen Karteninhaber und Kartennetzwerk liegen.
Kartenausgeber
Plattformen, die virtuelle oder physische Karten ausgeben und Kartennummern speichern, müssen die PCI-DSS-Anforderungen für Speicherung und Übertragung von PANs erfüllen.
Zahlungsabwickler
Jeder Intermediär, der Kartentransaktionen zwischen Händler und Kartennetzwerk weiterleitet - einschließlich BaaS-Anbieter und Zahlungs-Gateways - ist im Scope.
Dienstleister
Cloud-Plattformen, Managed-Service-Provider und SaaS-Anbieter, die die Sicherheit der Karteninhaberdaten eines Kunden beeinflussen können, sind ebenfalls im Scope.
Seit dem 31. März 2025 ist PCI DSS v4.0.1 die einzig gültige Version. Alle 64 neuen oder aktualisierten Anforderungen aus v4.0 sind jetzt verbindlich - die Übergangsfrist ist abgelaufen. In Deutschland betreffen diese Anforderungen Banken und Zahlungsdienstleister, die ohnehin den BaFin-Vorgaben aus BAIT und MaRisk unterliegen. Viele PCI-Kontrollen überschneiden sich mit diesen Anforderungen, was eine integrierte Compliance-Strategie wirtschaftlich sinnvoll macht.
Bei Nicht-Compliance drohen monatliche Strafen der Acquirer-Banken von 5.000 bis 100.000 EUR je nach Verstoßdauer, forensische Untersuchungen im Schadenfall sowie der Entzug der Kartenakzeptanz. Datenschutzverletzungen bei Kartendaten lösen in Deutschland zusätzlich DSGVO-Meldepflichten gegenüber der Datenschutzbehörde und dem BSI aus.
Lassen Sie uns Ihr Projekt besprechen und herausfinden, wie wir Ihr Projekt auf den Weg bringen können. digitales Bankprodukt zusammen
Demo anfordernDie 12 Anforderungen kompakt für Banking erklärt
PCI DSS v4.0.1 gliedert seine Kontrollen in 12 Anforderungsfamilien, geordnet nach sechs Zielen. Die folgende Tabelle ordnet jede Anforderung den für Fintechs und Cloud-native Banken relevantesten Maßnahmen zu.
| # | Anforderung | Was das in der Praxis bedeutet |
|---|---|---|
| 1 | Netzwerksicherheitskontrollen | Firewalls, Security Groups und VPC-Regeln, die die Karteninhaberdaten-Umgebung (CDE) von anderen Netzwerken isolieren. |
| 2 | Sichere Konfigurationen | Keine Standard-Passwörter; gehärtete OS- und Container-Images; keine ungenutzten Ports oder Dienste. |
| 3 | Gespeicherte Kontodaten schützen | PANs im Ruhezustand mit AES-256 oder gleichwertig verschlüsseln. In allen Speichersystemen - Datenbanken, Backups, Logs - unlesbar machen. |
| 4 | Kartendaten bei der Übertragung schützen | TLS 1.2+ für alle Übertragungen; keine unverschlüsselten Protokolle innerhalb der CDE. |
| 5 | Vor Schadsoftware schützen | Anti-Malware für relevante Systeme; Container-Image-Scanning in CI/CD-Pipelines. |
| 6 | Systeme und Software absichern | Patch-Management, sicherer SDLC, Web Application Firewall, Integrität von Zahlungsseiten-Skripten (neu in v4.0). |
| 7 | Zugriff nach Geschäftsbedarf einschränken | Rollenbasierte Zugriffskontrolle (RBAC); Least-Privilege-Prinzip für Service-Accounts und Personen. |
| 8 | Benutzer identifizieren und Zugriff authentifizieren | MFA für alle CDE-Zugriffe erforderlich, einschließlich Nicht-Administrator-Nutzer (neue Pflicht in v4.0). |
| 9 | Physischen Zugriff auf Kartendaten einschränken | Kontrollen für physische Datenträger; Besucherprotokolle; Vernichtungsverfahren. In der Cloud: Sicherheitsattest des CSP. |
| 10 | Alle Zugriffe protokollieren und überwachen | Audit-Trails für alle CDE-Aktivitäten; SIEM-Integration; manipulationssichere Log-Speicherung; mindestens 12 Monate Aufbewahrung. |
| 11 | Sicherheit regelmäßig testen | Vierteljährliche ASV-Scans, jährliche Penetrationstests, interne Schwachstellenscans; IDS/IPS wo sinnvoll. |
| 12 | Informationssicherheit durch Richtlinien unterstützen | Dokumentierte Sicherheitsrichtlinie, Risikobewertungen, Sicherheitsschulungen, Drittanbieter-Management. |
Im deutschen Regulierungskontext ergänzen sich PCI DSS und die BaFin-BAIT (Bankaufsichtliche Anforderungen an die IT) in vielen Punkten: Anforderungen an Berechtigungsmanagement, Protokollierung und Incident-Management decken sich weitgehend. Wer BAIT-konform ist, hat die Hälfte der PCI-Arbeit bereits erledigt - und umgekehrt.
PCI DSS in Cloud-nativen und Container-Umgebungen
Die klassischen PCI-DSS-Leitlinien wurden für Serverräume mit festen IP-Bereichen geschrieben. Cloud-native Umgebungen - Kubernetes-Cluster, serverlose Funktionen, ephemere Container, Multi-Account-Cloud-Setups - erfordern einen anderen Ansatz für die meisten der 12 Anforderungen. Der Standard trägt dem durch den "Customized Approach" Rechnung, der es erlaubt, Sicherheitsziele durch zur eigenen Architektur passende Kontrollen zu erfüllen.
Das Shared-Responsibility-Modell. Beim Betrieb auf einer Public Cloud übernimmt der Cloud-Anbieter die physische und Hypervisor-Schicht. Alles darüber liegt in der eigenen Verantwortung. Diese Grenze klar zu kartieren ist der erste Schritt bei der Cloud-PCI-Scope-Bestimmung.
| Schicht | Verantwortlicher | PCI-Kontrollen |
|---|---|---|
| Physische Infrastruktur und Hypervisor | Cloud-Anbieter (CSP) | Physische Sicherheit, Hardware-Isolation. CSP stellt einen Attestation of Compliance (AoC) bereit. |
| VPCs, Security Groups, IAM-Richtlinien | Eigenes Team | Netzwerksegmentierung, Least-Privilege-IAM, Verschlüsselung im Transit zwischen Services. |
| Kubernetes-Cluster, Control Plane | Eigenes Team | Cluster-Härtung, RBAC, Pod Security Standards, Image-Scanning, Admission Controller. |
| Anwendungs- und Businesslogik | Eigenes Team | mTLS zwischen Services, Input-Validierung, sicherer SDLC, WAF für Zahlungsseiten. |
| Daten im Ruhezustand (Datenbanken, Object Storage) | Eigenes Team | KMS-gestützte Verschlüsselung, Key-Rotation, Zugriffs-Logging, Backup-Verschlüsselung. |
Zero-Trust und Service Mesh. In einer Microservices-Architektur existiert der klassische Perimeter nicht mehr. Jeder Pod und jeder Service benötigt eine eigene Identität. Ein Service Mesh wie Istio oder Linkerd erzwingt Mutual TLS zwischen allen Services, liefert Request-genaue Observability und begrenzt den Blast-Radius: Wird ein Container kompromittiert, verhindert mTLS die Seitwärtsbewegung zu benachbarten Services. Das entspricht direkt Anforderung 4 (Verschlüsselung im Transit) und unterstützt die kontinuierliche Überwachungspflicht aus Anforderung 10.
Policy as Code. Tools wie Open Policy Agent (OPA) oder Kyverno ermöglichen es, PCI-Kontrollen als Code zu definieren und zum Admission-Zeitpunkt durchzusetzen: keine Root-privilegierten Container, keine öffentlich erreichbaren Load Balancer für interne Services, Herkunftsnachweis für Container-Images, Erkennung von Konfigurationsdrift. In Verbindung mit einem CSPM-Tool liefert das den kontinuierlichen Compliance-Nachweis, den v4.0 verlangt. Für die DSGVO-konforme Datenhaltung in Deutschland empfiehlt sich zusätzlich eine explizite Datenresidenz-Konfiguration, die sicherstellt, dass Kartendaten EU-Rechenzentren nicht verlassen.
Scope-Reduktion durch Tokenisierung und Netzwerksegmentierung
Der effektivste Weg, PCI-Compliance-Kosten und -Komplexität zu senken, besteht darin, die Größe der Karteninhaberdaten-Umgebung zu minimieren. Weniger Systeme im Scope bedeutet ein kleineres Audit, weniger Belege und eine kleinere Angriffsfläche. Zwei Techniken treiben die Scope-Reduktion: Tokenisierung und Netzwerksegmentierung.
Tokenisierung. Ein Tokenisierungssystem ersetzt die rohe PAN durch einen Ersatzwert (Token) ohne kryptografische Verbindung zum Original. Systeme, die nur den Token sehen - CRM, Kundenportal, Analyse-Pipeline - sind außerhalb des Scope. Im Scope verbleiben nur der Tokenisierungs-Vault, das Schlüsselmanagementsystem und Anwendungen, die die De-Tokenisierungs-API aufrufen.
Damit ein Token ein System aus dem Scope nimmt, müssen zwei Bedingungen erfüllt sein: Das token-only System darf keinen Zugriff auf Vault, Schlüssel oder De-Tokenisierungsendpunkt haben; und der Token muss für das empfangende System ohne API-Aufruf an den Vault irreversibel sein. Sind beide Bedingungen erfüllt, bestätigen die Tokenisierungsrichtlinien des PCI Security Standards Council, dass diese Systeme außerhalb der CDE fallen.
Netzwerksegmentierung. Segmentierung trennt Systeme, die PANs halten oder berühren, von solchen, die das nicht tun. In einer Kubernetes-Umgebung bedeutet das: dedizierte Namespaces oder Node-Pools für CDE-Workloads, Netzwerkrichtlinien, die allen Traffic von Nicht-CDE-Namespaces zu CDE-Namespaces (außer explizit erlaubten Pfaden) blockieren, sowie separate VPCs oder Accounts für die Kartendaten-Verarbeitung.
Vorteile der Tokenisierung
- Entfernt ganze Applikationstiers aus dem PCI-Scope
- Schützt Daten auch bei Kompromittierung eines Nicht-CDE-Systems
- Ergänzt Verschlüsselung (komplementär, kein Ersatz)
- Erforderliche Zugriffskontrollen einfacher auditierbar
Vorteile der Segmentierung
- Begrenzt den Blast-Radius eines Sicherheitsvorfalls
- Reduziert die Zahl der Systeme mit vollständigen PCI-Kontrollen
- Ermöglicht unterschiedliche Sicherheitspostur für CDE und Nicht-CDE
- Schafft klare Audit-Grenze für QSA oder SAQ
Scoping-Fehler sind das häufigste und teuerste Versagen bei PCI-Prüfungen. Ein verbreiteter Irrtum: Verschlüsselung allein entfernt ein System aus dem Scope. Verschlüsselung schützt Daten innerhalb der CDE, zieht aber keine CDE-Grenzen. Nur Tokenisierung (korrekt implementiert) und nachgewiesene Segmentierung entfernen Systeme aus dem Scope. Für DSGVO-regulierte Umgebungen in Deutschland gilt zusätzlich: Kartendaten sind häufig personenbezogene Daten im Sinne der DSGVO - eine Datenpanne löst also sowohl PCI-DSS-Meldepflichten als auch DSGVO-Meldepflichten aus.
SAQ vs. ROC, Händlerlevel und der Prüfprozess
Die PCI-DSS-Validierungsanforderungen hängen von Ihrem Händler- oder Dienstleister-Level ab, der von den Kartenschemata (Visa, Mastercard usw.) nach dem jährlichen Transaktionsvolumen und Risikoprofil festgelegt wird.
| Level | Transaktionsschwelle | Prüfmethode |
|---|---|---|
| Level 1 | Über 6 Mio. Kartentransaktionen/Jahr (Händler); über 300.000/Jahr (Dienstleister oder nach Datenpanne) | Jährlicher Report on Compliance (ROC) durch einen Qualified Security Assessor (QSA); vierteljährliche ASV-Scans |
| Level 2 | 1 bis 6 Mio. Transaktionen/Jahr | Jährliches SAQ oder QSA-Prüfung; vierteljährliche ASV-Scans |
| Level 3 | 20.000 bis 1 Mio. E-Commerce-Transaktionen/Jahr | Jährliches SAQ; vierteljährliche ASV-Scans |
| Level 4 | Unter 20.000 E-Commerce- oder unter 1 Mio. Gesamttransaktionen/Jahr | Jährliches SAQ empfohlen; ASV-Scans nach Anforderung des Acquirers |
SAQ (Self-Assessment Questionnaire). Der SAQ ist eine Selbstdeklaration. Es gibt verschiedene SAQ-Typen (A, A-EP, B, B-IP, C, C-VT, D, P2PE-HW), je nachdem, wie Kartendaten verarbeitet werden. SAQ-A gilt für Händler, die die Kartendatenverarbeitung vollständig ausgelagert haben. SAQ-D - der umfangreichste - gilt, wenn PANs selbst gespeichert, verarbeitet oder übertragen werden, und spiegelt nahezu alle PCI-DSS-Kontrollen wider. Die Fertigstellung eines SAQ-D dauert für ein Fintech typischerweise sechs bis zwölf Monate.
ROC (Report on Compliance). Der ROC ist ein unabhängiges Audit durch einen QSA oder zertifizierten Internal Security Assessor (ISA). Er ist für Level-1-Unternehmen verpflichtend und bei Dienstleistern und Fintechs mit hohem Volumen üblich. Das Ergebnis ist ein detaillierter technischer Bericht plus Attestation of Compliance (AoC). Viele Fintechs streben freiwillig eine ROC-Prüfung an, weil Enterprise-Banken und Kartenschemata sie als Voraussetzung für Partnerschaften fordern.
In Deutschland bieten spezialisierte PCI-QSA-Anbieter auch integrierte BAIT/MaRisk-PCI-Audits an, die Doppelarbeit bei der Beweiserhebung reduzieren. Da BaFin und PCI-DSS-Anforderungen an IT-Sicherheit, Zugriffskontrolle und Incident-Management weitgehend deckungsgleich sind, lässt sich mit einer integrierten Compliance-Strategie der Gesamtaufwand erheblich senken.
Wie Crassulas Plattform die PCI-Scope-Reduktion unterstützt
Crassulas White-Label-Banking-Plattform wurde so konzipiert, dass sie die kritischsten Teile der Karteninhaberdaten-Umgebung übernimmt - und Kunden ermöglicht, Karten- und Zahlungsprodukte aufzubauen, ohne selbst die vollständige Last der CDE-Eigentümerschaft zu tragen.
Tokenisierte Kartendaten
PANs auf der Crassula-Plattform werden tokenisiert gespeichert und übertragen. Client-Anwendungen arbeiten mit Tokens, nicht mit rohen Kartennummern - die meisten Client-Systeme bleiben damit außerhalb des PCI-Scope.
Verschlüsselung in Ruhe und Transit
Alle auf Crassula-Infrastruktur gespeicherten Kartendaten sind AES-256-verschlüsselt. Alle Inter-Service-Kommunikation erfolgt über TLS 1.3. KMS-gesteuerte Key-Rotation ist automatisiert.
Netzwerksegmentierung
CDE-Workloads laufen in dedizierten, gehärteten Namespaces mit strikten Egress-/Ingress-Richtlinien. Nicht-CDE-Applikationstiers sind auf Netzwerkebene getrennt und können nicht auf Kartendaten-Stores zugreifen.
Audit-bereite Protokollierung
Alle Zugriffe auf Karteninhaberdaten-Umgebungen werden manipulationssicher protokolliert und mindestens 12 Monate aufbewahrt. Kunden erhalten Log-Exports für eigene Compliance-Berichterstattung.
Wer ein Karten- oder Zahlungsprodukt auf Crassula aufbaut, erbt die bereits in der Plattform eingebauten Sicherheitskontrollen. Das reduziert den Scope der eigenen PCI-Prüfung auf die Integrationspunkte zwischen der eigenen Anwendung und den Crassula-APIs. Für Teams, die ein erstes Kartenprogramm in Deutschland aufsetzen, verkürzt dieser Ansatz den Weg zur ersten PCI-Prüfung von 12-18 Monaten (eigener CDE-Aufbau) auf 3-6 Monate. Kontaktieren Sie das Crassula-Team für eine technische Übersicht der Shared-Responsibility-Grenzen und die Dokumentation, die Ihr QSA benötigt.
FAQ
PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsregelwerk, das für jedes Unternehmen gilt, das Zahlungskartendaten speichert, verarbeitet oder überträgt - einschließlich PANs, CVVs, PINs und Track-Daten. Wenn Ihr Fintech Karten ausgibt, Kartentransaktionen verarbeitet oder im Datenpfad zwischen Karteninhaber und Kartennetzwerk liegt, gilt PCI DSS für Sie. Das umfasst Kartenausgeber, Zahlungsabwickler, Payment Facilitators und Dienstleister, die Kartendaten im Auftrag von Kunden hosten oder verwalten. Wenn Sie Kartendaten ausschließlich an einen vollständig PCI-DSS-konformen Dritten weitergeben und keinen Zugriff auf rohe Kartennummern haben, fallen Sie möglicherweise in eine SAQ-Kategorie mit reduziertem Scope.
PCI DSS v4.0 (heute v4.0.1, die aktive Version) hat gegenüber v3.2.1 mehrere wesentliche Änderungen eingeführt. Die wichtigsten für Cloud-native Fintechs sind: MFA ist jetzt für alle CDE-Zugriffe erforderlich, nicht nur für Administrator-Zugriffe; Zahlungsseiten-Skripte müssen Integritätskontrollen haben, um clientseitiges Skimming zu verhindern (Anforderung 6.4); der "Customized Approach" erlaubt es Unternehmen, Sicherheitsziele durch zur eigenen Architektur passende Kontrollen zu erfüllen; kontinuierliches Monitoring ist explizit vorgeschrieben statt punktueller Jahresprüfungen; und alle 64 neuen Anforderungen aus v4.0 wurden am 31. März 2025 verbindlich. Ab 2026 laufen alle Prüfungen gegen v4.0.1 als Baseline.
Cloud-PCI-DSS-Compliance beginnt mit dem Verständnis des Shared-Responsibility-Modells: Ihr Cloud-Anbieter übernimmt physische Sicherheit (und liefert einen AoC dazu), alles ab der Virtualisierungsschicht liegt bei Ihnen. Kernschritte sind: CDE-Grenze präzise definieren; Netzwerksegmentierung zur CDE-Isolierung implementieren; Verschlüsselung im Transit mit TLS 1.3 und Mutual TLS zwischen Microservices; Verschlüsselungsschlüssel in einem Cloud-KMS mit automatischer Rotation verwalten; Least-Privilege-RBAC und MFA für alle CDE-Zugriffe; Policy-as-Code (OPA, Kyverno) einsetzen, um nicht-konforme Konfigurationen aus der Produktion herauszuhalten; SIEM und zentralisiertes Logging mit 12 Monaten Aufbewahrung aufsetzen; vierteljährliche ASV-Scans und jährliche Penetrationstests durchführen. Für Deutschland empfiehlt sich eine Integration mit den BAIT-Kontrollen, da sich die Anforderungen weitgehend überschneiden und Doppelarbeit vermieden werden kann.
Tokenisierung ersetzt eine rohe PAN durch einen Ersatz-Token ohne mathematische Beziehung zum Original. Jedes System, das nur den Token sieht - CRM, Analyseplattform, Kundenportal - ist außerhalb des PCI-Scope, solange es die De-Tokenisierungs-API nicht aufrufen und nicht auf den Key-Vault zugreifen kann. Netzwerksegmentierung trennt CDE-Systeme von Nicht-CDE-Systemen auf Netzwerkebene durch Firewalls, VPC-Grenzen, Kubernetes-Netzwerkrichtlinien und dedizierte Namespaces oder Accounts. Systeme auf der Nicht-CDE-Seite können keine Verbindungen zur CDE initiieren und sind damit vom Audit ausgenommen. Beide Techniken ergänzen sich: Tokenisierung entfernt einzelne Datenelemente aus dem Scope; Segmentierung entfernt ganze Netzwerktiers.
Ein SAQ (Self-Assessment Questionnaire) ist eine Selbstdeklaration, dass Ihre Umgebung PCI DSS erfüllt. Er gilt für Händler mit niedrigerem Volumen und einige Dienstleister und wird intern ausgefüllt (Belege müssen jedoch aufbewahrt werden). Ein ROC (Report on Compliance) ist ein unabhängiges Audit durch einen externen QSA oder zertifizierten ISA. Er ist für Level-1-Händler und Dienstleister verpflichtend und wird von Enterprise-Kunden und Kartenschemata als Partnerschaftsbedingung erwartet. Ergebnis eines ROC-Audits ist ein detaillierter technischer Bericht plus Attestation of Compliance (AoC). Für die meisten Fintechs, die Kartendaten direkt verarbeiten, ist der Weg zum Level-1-Dienstleister-ROC das langfristige Ziel - auch wenn viele mit einem SAQ beginnen, während sie noch Volumen aufbauen. In Deutschland bieten mehrere QSA-Anbieter kombinierte BAIT-PCI-Audits an, die den Gesamtaufwand reduzieren.
Weitere Leitfäden
Erstellen Sie eine digitale Bank in nur wenigen Tagen
Demo anfordern