Pay­ment Card Indu­stry Data
Se­curity Stan­dard

Inhaltsverzeichnis

• Ein umfassendes und aktuelles PCI DSS-Compliance-Dokument
• Keine papierbasierte Speicherung von Kartendaten
• Ein klar definierter und zugänglicher Incident Response Plan
• Strenge Sicherheitsstandards für alle Systeme und Logins
• Kontinuierliche Aktualisierung aller Systeme
• Wartungsvertrag
• Ausschliesslich autorisierte Skripte vom offiziellen Zahlungsabwickler
• Fazit: PCI DSS ist ein fortlaufender Prozess

Ein umfassendes und aktuelles PCI DSS-Compliance-Dokument

Ein zentraler Bestandteil jeder PCI-DSS-Strategie ist ein sorgfältig geführtes, regelmässig aktualisiertes Compliance-Dokument. Es definiert:

• Physische Sicherheitsrichtlinien
• Zugriffskontrollen für kritische Systeme
• Rollen- und Verantwortlichkeitsmatrizen inklusive externer Dienstleister

Dieses Dokument wird ständig gepflegt, um neue PCI-DSS-Versionen sowie interne organisatorische Änderungen abzubilden und ist für alle relevanten Mitarbeitenden leicht zugänglich.


Eine Vorlage wie so ein Dokument aufgebaut ist, können Sie bei uns anfragen.

Keine papierbasierte Speicherung von Kartendaten

Das Speichern von Kartendaten in Papierform stellt ein hohes Sicherheitsrisiko dar. Ihr Unternehmen sollte sicherstellen, dass keinerlei Kartendaten physisch erfasst oder abgelegt werden. Dadurch vermeiden Sie:

• unkontrollierbare Zugriffe
• Verlust oder Diebstahl sensibler Informationen
• erhöhte Compliance-Risiken
  
  

Diese einfache, aber entscheidende Massnahme unterstützt die PCI-DSS-Konformität nachhaltig

Ein klar definierter und zugänglicher Incident Response Plan

Sicherheitsvorfälle können jederzeit auftreten – entscheidend ist, dass Ihr Unternehmen vorbereitet ist.
Dafür sollten Sie einen eigenen Incident Response Plan (IRP) erstellen, damit Vorfälle schnell erkannt, korrekt gemeldet und wirksam eingedämmt werden

Ein zentrales Element des IRP ist die strukturierte Analyse anhand der 5-W-Fragen:

1. Was ist passiert?
   – Beschreibung des Vorfalls, inklusive erster Hinweise, betroffener Systeme und möglicher Auswirkungen.
2. Wann wurde der Vorfall entdeckt?
   – Genaue Zeit- und Datumsangaben sind wichtig, um Reaktionszeiten und Angriffsdauer zu beurteilen.
3. Wo trat der Vorfall auf?
   – Identifikation des betroffenen Bereichs, Systems oder Prozessschritts.
4. Wer ist betroffen oder beteiligt?
   – Betroffene Nutzer, Systeme, Dienstleister oder Kunden.
5. Warum bzw. wie konnte der Vorfall entstehen?
   – Erste Einschätzung zu Ursachen, Schwachstellen oder verdächtigen Aktivitäten.

Ihr IRP sollte ausserdem klare Meldewege definieren, die unverzügliche Benachrichtigung der Geschäftsleitung und externer Stellen sicherstellen und festhalten, dass während eines Vorfalls keine unautorisierten Systemänderungen vorgenommen werden dürfen.

Damit der IRP im Ernstfall wirkt, sollten alle relevanten Mitarbeitenden geschult sein und jederzeit Zugriff auf das Dokument haben.

Strenge Sicherheitsstandards für alle Systeme und Logins

Ihr Unternehmen sollte sicherstellen, dass alle Systeme und Logins, die Zahlungsdaten verarbeiten, hohen Sicherheitsstandards entsprechen. Dazu gehören unter anderem:

• Starke, einzigartige Passwörter
• Mindestens 12 Zeichen Passwortlänge (verpflichtend ab 1. April 2025)
• Sofortige Deaktivierung nicht mehr benötigter Konten
• Multi-Faktor-Authentifizierung für alle kritischen Zugriffe

Diese Massnahmen reduzieren Angriffsraume deutlich und stärken die PCI-DSS-Konformität.

Kontinuierliche Aktualisierung aller Systeme

Veraltete Software ist eines der grössten Sicherheitsrisiken. Deshalb sollten Sie sicherstellen, dass:

• Betriebssysteme, Anwendungen und Drittanbieter-Tools stets aktuell sind
• kritische Updates innerhalb eines Monats installiert werden
• alle Aktualisierungen zuvor in einer sicheren Umgebung getestet werden
• eine umfassende Dokumentation für Compliance-Zwecke erfolgt

So bleibt die Infrastruktur zuverlässig und widerstandsfähig gegen Angriffe.

Wir empfehlen deshalb bei Shopware 6, immer nach zwei Jahre das System zu updaten. Spätestens wenn Ihre Shopware Version nicht mehr der LTS (Long Time Support) entspricht. Hier gehts zum Shopware Release Kalender.

Shopware 6 bietet das Sicherheitsplugin an. Dennoch befindet sich im Shop immer noch ein veraltetes Zahlungsschnittstellenplugin. Pluginhersteller sind nicht verpflichtet seitens Shopware, Pluginsupport zu leisten für Versionen die nicht mehr der LTS entsprechen.

Wartungsvertrag

Mit unsere Wartungsvertrag spielen wir das Sicherheitsplugin innert 2 Tagen automatisch für Sie ein.
Je nach Wartungsvertrag beinhaltet dies auch ein Minor Update, bei dem wir den Shop updaten und die Plugins ebenfalls aktualisieren.

Ausschliesslich autorisierte Skripte vom offiziellen Zahlungsabwickler

Manipulierte oder unautorisierte Payment-Skripte stellen ein erhebliches Sicherheitsrisiko dar.
Ihr Unternehmen sollte daher ausschliesslich Skripte des offiziellen Zahlungsdienstleisters verwenden.

Dies stellt sicher, dass:

• keine unautorisierten oder schädlichen Skripte eingebunden werden
• schützt Transaktionen vor Manipulation
• unterstützt die PCI-DSS-Konformität
• minimiert Risiken wie Magecart-Angriffe

Damit bleiben Zahlungsprozesse sicher und vertrauenswürdig.

Fazit: PCI DSS ist ein fortlaufender Prozess

Die sechs beschriebenen Bestätigungen zeigen: PCI DSS betrifft nicht nur Technik, sondern ebenso Organisation, Schulung und Dokumentation. Unternehmen, die diese Grundsätze konsequent leben, profitieren langfristig durch:

• erhöhte Datensicherheit
• geringeres Haftungsrisiko
• stärkeres Vertrauen bei Kunden und Partnern

PCI DSS ist kein einmaliges Projekt, sondern ein dauerhafter Beitrag zur Sicherheit im digitalen Zahlungsverkehr.