Definition
Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein verbindlicher Sicherheitsstandard für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen. Er wird vom PCI Security Standards Council (gegründet von Visa, Mastercard, American Express, Discover und JCB) verwaltet und regelmässig aktualisiert.
Seit März 2024 ist PCI-DSS v4.0 der geltende Standard (v3.2.1 wurde abgelöst). Version 4.0 bringt erhebliche Änderungen mit sich.
Compliance-Level nach Transaktionsvolumen
| Level | Transaktionen/Jahr | Anforderung | Typische Unternehmen |
|---|---|---|---|
| Level 1 | > 6 Mio. | Jährliches On-Site Audit durch QSA + quartalsweiser ASV-Scan | Grosshändler, Airlines, Detailhandel |
| Level 2 | 1–6 Mio. | SAQ + quartalsweiser ASV-Scan | Mittelgrosse Online-Shops |
| Level 3 | 20'000–1 Mio. (E-Commerce) | SAQ + quartalsweiser ASV-Scan | Wachsende E-Commerce-Shops |
| Level 4 | < 20'000 (E-Commerce) | SAQ (empfohlen, nicht immer erzwungen) | KMU, kleine Online-Shops |
Wichtig: Der Acquirer bestimmt das Level. Auch bei Level 4 kann der Acquirer einen PCI-Nachweis verlangen – und tut dies zunehmend.
SAQ-Typen im Vergleich
Der Self-Assessment Questionnaire (SAQ) bestimmt den Prüfungsumfang. Der Typ hängt davon ab, wie der Händler Kartendaten verarbeitet:
| SAQ-Typ | Szenario | Fragen | Aufwand | Typisches Setup |
|---|---|---|---|---|
| SAQ A | Alle Kartendaten werden auf Seite des PSP verarbeitet (Redirect/iFrame) | ~22 | Gering (1–2 Tage) | Hosted Payment Page, Shopify |
| SAQ A-EP | Checkout auf eigener Website, aber Kartendaten gehen direkt an PSP (JavaScript/iFrame) | ~140 | Mittel (1–2 Wochen) | Stripe Elements, Adyen Drop-in |
| SAQ B | Nur Imprint-Maschinen oder Stand-alone Terminals ohne Internet | ~41 | Gering | Stationärer Handel (selten) |
| SAQ B-IP | IP-verbundene POS-Terminals | ~82 | Mittel | POS mit Netzwerkanbindung |
| SAQ C | Payment Application mit Internetverbindung | ~160 | Mittel-Hoch | Integrierte POS-Systeme |
| SAQ D | Alle anderen Szenarien; Händler speichert/verarbeitet Kartendaten selbst | ~300+ | Hoch (Wochen bis Monate) | Eigene Payment-Infrastruktur |
Entscheidungshilfe: Welcher SAQ-Typ bin ich?
- Kartendaten berühren nie meinen Server → SAQ A
- Meine Website hat ein Zahlungsformular (JS/iFrame), aber Daten gehen direkt an den PSP → SAQ A-EP
- Ich speichere oder verarbeite Kartendaten selbst → SAQ D
- Nur physische Terminals → SAQ B oder B-IP
Praxis-Tipp: Wählen Sie immer die Architektur mit dem geringstmöglichen SAQ-Scope. Der Sprung von SAQ A zu SAQ D bedeutet eine Verzehnfachung des Compliance-Aufwands.
Kosten der PCI-Compliance
| Aspekt | SAQ A | SAQ A-EP | SAQ D | Level 1 (On-Site Audit) |
|---|---|---|---|---|
| Initiale Einrichtung | CHF 500–2'000 | CHF 2'000–8'000 | CHF 10'000–50'000 | CHF 50'000–200'000 |
| Jährliche Kosten | CHF 200–500 | CHF 1'000–3'000 | CHF 5'000–25'000 | CHF 30'000–100'000 |
| ASV-Scan (quartalsweise) | Nicht nötig | CHF 200–500/Quartal | CHF 200–500/Quartal | CHF 500–2'000/Quartal |
| Personeller Aufwand | Minimal | 2–5 Personentage/Jahr | 10–30 Personentage/Jahr | Dediziertes Team |
| Externe Beratung | Selten nötig | Empfohlen | Fast immer nötig | QSA-Audit Pflicht |
Entscheidung beschleunigen?
Nutze den Payment-Fit-Check und erhalte eine priorisierte Anbieterliste für dein Setup.
Zum Payment-Fit-CheckPraktische Schritte für Schweizer KMU
Schritt 1: Scope bestimmen
Identifizieren Sie alle Systeme, die mit Kartendaten in Berührung kommen:
- Webserver, die den Checkout hosten
- Datenbanken mit Kundendaten
- Netzwerke, über die Kartendaten fliessen
- Mitarbeitende mit Zugriff auf Kartendaten
Schritt 2: Scope minimieren
- Hosted Payment Page oder iFrame des PSPs verwenden → reduziert auf SAQ A
- Tokenisierung aktivieren → keine Kartendaten im eigenen System
- Netzwerksegmentierung: Zahlungssysteme vom restlichen Netzwerk isolieren
Schritt 3: SAQ ausfüllen
- Den passenden SAQ-Typ beim Acquirer erfragen
- Fragebogen ehrlich und vollständig ausfüllen
- Bei Unsicherheiten einen PCI QSA (Qualified Security Assessor) konsultieren
Schritt 4: Laufend einhalten
- Quartalsweise ASV-Scans durchführen (ab SAQ A-EP)
- Jährlich den SAQ erneuern
- Mitarbeiterschulungen zu Payment Security durchführen
- Incident-Response-Plan erstellen und testen
PCI-DSS v4.0: Die wichtigsten Änderungen
Version 4.0 (seit März 2024 verbindlich) bringt folgende Neuerungen:
| Änderung | Beschreibung | Auswirkung auf Händler |
|---|---|---|
| Customized Approach | Alternative zu vorgeschriebenen Kontrollen – eigene Massnahmen mit gleichem Sicherheitsziel | Mehr Flexibilität für grosse Unternehmen |
| Erweitertes MFA | Multi-Factor Authentication für alle Zugriffe auf die Cardholder Data Environment | Alle Admin-Zugänge benötigen MFA |
| Script-Management | Pflicht zur Kontrolle aller JavaScript-Skripte auf Zahlungsseiten | Betrifft SAQ A-EP: regelmässige Script-Inventarisierung |
| Phishing-Schutz | Technische Massnahmen gegen Phishing für Mitarbeitende mit CDE-Zugriff | Security-Awareness-Training wird Pflicht |
| Authentifizierung | Passwortlänge mindestens 12 Zeichen (vorher 7) | Passwort-Policy aktualisieren |
| Risikobewertung | Jährliche gezielte Risikoanalyse für alle PCI-DSS-Anforderungen | Dokumentierter Risikomanagement-Prozess |
Deadline für «Future-Dated Requirements»: Bis 31. März 2025 müssen alle v4.0-Anforderungen vollständig umgesetzt sein. Prüfen Sie mit Ihrem QSA, ob Sie compliant sind.
Häufige Fehler bei der PCI-Compliance
- "Wir akzeptieren nur via PSP, also sind wir automatisch compliant" – Falsch. Auch bei SAQ A müssen Sie den Fragebogen ausfüllen und beim Acquirer einreichen.
- "PCI betrifft nur den Online-Shop" – Auch Telefon-Bestellungen (MOTO), bei denen Kartendaten mündlich aufgenommen werden, fallen unter PCI-DSS.
- "Unser Hosting-Provider ist PCI-zertifiziert, also sind wir es auch" – Die Verantwortung lässt sich nicht komplett delegieren. Der Händler muss seinen eigenen SAQ-Scope nachweisen.
- "Einmal compliant, immer compliant" – PCI-DSS ist ein fortlaufender Prozess. Jede Systemänderung kann den Scope verändern.
- "Kleine Shops werden nicht geprüft" – Acquirer prüfen zunehmend auch Level-4-Händler und verlangen SAQ-Nachweise.
PSP-Vergleich: PCI-Support für Händler
| Anbieter | SAQ-Unterstützung | Hosted Page | Tokenisierung | PCI-Dashboard | Compliance-Hilfe |
|---|---|---|---|---|---|
| Stripe | Automatisch SAQ A | Ja (Checkout) | Ja (Network Tokens) | Ja | Dokumentation + Support |
| Adyen | SAQ A + A-EP | Ja (Drop-in) | Ja (Network Tokens) | Ja | Dedicated Compliance-Team |
| Datatrans | SAQ A + A-EP | Ja (Lightbox) | Ja (Alias-System) | Nein | Dokumentation |
| Worldline/Saferpay | SAQ A + A-EP | Ja (Payment Page) | Ja | Teilweise | Support auf Anfrage |
| Payrexx | SAQ A | Ja (Hosted) | Ja (via Provider) | Nein | Basis-Dokumentation |
Schweizer Besonderheiten
- Kein Schweizer PCI-Gesetz: PCI-DSS ist ein Branchenstandard, keine staatliche Regulierung. Die Einhaltung wird aber über den Acquiring-Vertrag erzwungen.
- FINMA-Relevanz: Für regulierte Finanzinstitute kann PCI-DSS Teil der FINMA-Anforderungen an operationelle Risiken sein.
- Datenschutz (DSG): Das Schweizer Datenschutzgesetz ergänzt PCI-DSS – Kartendaten sind auch personenbezogene Daten im Sinne des DSG.
- WEKO und Kartennetzwerke: Die Schweizer Wettbewerbskommission beobachtet die PCI-Compliance-Anforderungen als potenzielles Wettbewerbsthema.
Fazit: Der pragmatische Weg für die meisten Unternehmen
Für 90% der Schweizer KMU ist der effizienteste Compliance-Pfad:
- Hosted Payment Page oder iFrame des PSPs nutzen → SAQ A
- Tokenisierung für wiederkehrende Zahlungen aktivieren
- SAQ A jährlich ausfüllen und beim Acquirer einreichen
- Mitarbeitende schulen zu Phishing und Payment Security
- PCI-DSS v4.0 Anforderungen prüfen und umsetzen
Dieser Ansatz minimiert Kosten, Aufwand und Risiko gleichzeitig.
Payment Setup optimieren?
Wir analysieren deinen Use Case und priorisieren passende Anbieter.
Weiterführende Inhalte
Passende Seiten basierend auf Thema, Entitäten und Kontext.
Payment Schweiz 2026: Anbieter, Kosten und Strategie
Inhaltlich eng verwandt
LesenBNPL in der Schweiz: Conversion-Booster mit Governance-Pflicht
Inhaltlich eng verwandt
LesenKartenzahlungen in der Schweiz: Basis für jedes Payment-Setup
Inhaltlich eng verwandt
LesenKauf auf Rechnung in der Schweiz: Vertrauen und Risikobalance
Inhaltlich eng verwandt
LesenTWINT im Checkout: Wirkung, Kosten, Umsetzung
Inhaltlich eng verwandt
LesenMarketplace Payments Schweiz: Split Payouts, Risiko und Skalierung
Inhaltlich eng verwandt
LesenRetail Payment Stack Schweiz: Conversion und Kosten im Gleichgewicht
Inhaltlich eng verwandt
LesenSaaS Payments Schweiz: Subscription-Setup mit geringem Churn-Risiko
Inhaltlich eng verwandt
LesenCustom Stack Payments Schweiz: Build vs Buy richtig entscheiden
Inhaltlich eng verwandt
LesenShopify Payments in der Schweiz: Providerwahl und Setup-Fallen
Inhaltlich eng verwandt
Lesen