PCI-DSS-Compliance ist der Prozess, den Payment Card Industry Data Security Standard - derzeit v4.0.1 - zu erfüllen, um Karteninhaberdaten in jedem System zu schützen, das sie speichert, verarbeitet oder überträgt. CyberXplore ist eine Sicherheitsberatung (kein QSA und keine Zertifizierungsstelle), die Organisationen mit senior-geführter Gap-Analyse, Scoping der Karteninhaberdaten-Umgebung (CDE), Validierung der Segmentierung und den vom Standard vorgeschriebenen manuellen Penetrationstests nach Requirement 11 auditbereit macht. Wir ordnen Ihre Verpflichtungen dem richtigen SAQ oder ROC zu, erstellen die Nachweise, die Ihr Prüfer erwartet, und koordinieren die vierteljährlichen ASV-Scans über PCI-zugelassene Partner.
PCI DSS v4.0PCI SSCOWASPPTESNIST
Warum CyberXplore
Ausschließlich Senior-Tester (OSCP, CRTP, CREST)
Zertifiziert nach ISO 27001 & ISO 9001
Kostenloser Retest + Attestierungsschreiben
Maßgeschneiderter Scope und Angebot innerhalb von 24 Stunden
Warum es wichtig ist
Nichteinhaltung bringt Bußgelder der Acquiring-Bank, höhere Transaktionsgebühren und - nach einem Datenleck - den vollständigen Verlust Ihrer Fähigkeit mit sich, Kartenzahlungen anzunehmen.
PCI DSS v4.0 hat zukunftsdatierte Anforderungen eingeführt, die am 31. März 2025 verbindlich wurden, darunter gezielte Risikoanalysen, erweiterte Authentifizierung und ein strengeres Scoping, das viele Händler überrascht.
Ein fehlerhaftes Scoping der Karteninhaberdaten-Umgebung ist der häufigste und teuerste Fehler - zu eng gefasst, fallen Sie durch die Prüfung; zu weit gefasst, geben Sie zu viel für Kontrollen von Systemen aus, die nie mit Kartendaten in Berührung kommen.
Requirement 11 schreibt interne und externe Penetrationstests sowie Segmentierungstests vor; schwache oder 'Häkchen'-Tests lassen real ausnutzbare Wege in die CDE offen, die ein Prüfer - oder ein Angreifer - finden wird.
Wir bestätigen Ihren Händler-Level, ermitteln, ob Sie ein SAQ (und welchen Typ) oder einen vollständigen Report on Compliance benötigen, und kartieren dann die Karteninhaberdaten-Umgebung - jedes System, jeden Datenfluss und jede angebundene Komponente, die Kartendaten speichert, verarbeitet oder überträgt - und bewerten sie anhand aller 12 PCI DSS v4.0 Anforderungen.
02
Segmentierungsprüfung
Wir validieren die Netzwerksegmentierung, die Ihre CDE vom restlichen Unternehmensnetzwerk isoliert, identifizieren Risiken flacher Netzwerke und reduzieren Prüfungsumfang (und Kosten), indem wir bestätigen, dass Systeme außerhalb des Geltungsbereichs tatsächlich isoliert sind.
03
Requirement-11-Penetrationstests
Unsere OSCP- und CREST-qualifizierten Tester führen die von Requirement 11.4 geforderten internen und externen Penetrationstests durch, ergänzt um Segmentierungs-Penetrationstests (11.4.5), um nachzuweisen, dass Isolationskontrollen nicht umgangen werden können - alles manuell, nicht nur gescannt.
04
ASV-Scanning & Schwachstellenmanagement
Wir koordinieren die nach Requirement 11.3.2 erforderlichen vierteljährlichen externen Schwachstellenscans über einen Partner, der PCI SSC Approved Scanning Vendor ist, helfen Ihnen bei der Interpretation der Ergebnisse und etablieren einen nachhaltigen Zyklus aus Behebung und erneutem Scan.
05
Nachweise, Behebung & Audit-Support
Wir stellen die Richtlinien, Konfigurationen, gezielten Risikoanalysen und Testergebnisse zusammen, die Ihr QSA oder Acquirer verlangt, begleiten die Behebung jeder Lücke und unterstützen Sie durch die SAQ-Attestierung oder das QSA-geführte ROC-Assessment.
Was wir testen
Erkennung der Karteninhaberdaten-Umgebung (CDE), Datenfluss-Mapping und Scope-Definition
Ermittlung des Händler-/Dienstleister-Levels und Auswahl des Wegs SAQ vs. ROC
Gap-Analyse gegen alle 12 PCI DSS v4.0 Anforderungen (definierter und angepasster Ansatz)
Netzwerksegmentierungsprüfung und Segmentierungs-Penetrationstests (Req 11.4.5)
Interne und externe Penetrationstests gemäß Requirement 11.4
Koordination der vierteljährlichen externen ASV-Scans (Req 11.3.2) über einen zugelassenen Anbieter
Interne Schwachstellenscans und authentifizierte Konfigurationsprüfung (Req 11.3.1)
Gezielte Risikoanalysen sowie Prüfung von sicherer Konfiguration, Protokollierung und Zugriffskontrolle
Vorbereitung von Richtlinien, Verfahren und Nachweispaket für das Assessment
Readiness-Check vor dem Assessment und Unterstützung im Kontakt mit QSA / Acquirer
Was Sie erhalten
CDE-Scope-Dokument mit kommentierten Karteninhaberdaten-Flussdiagrammen
Priorisierter Gap-Analyse-Bericht, zugeordnet zu jeder PCI DSS v4.0 Anforderung
Requirement-11-Penetrationstestbericht mit Findings, Nachweisen und CVSS-Schweregraden
Segmentierungstestergebnisse, die die CDE-Isolation bestätigen
Behebungs-Roadmap mit einsatzbereiten Hinweisen für Entwickler und Ingenieure
Kostenloser Retest der Behebung und ein Attestierungsschreiben zum Penetrationstest
Auditbereites Nachweispaket zur Unterstützung Ihres SAQ oder QSA-geführten ROC
Beispiel-Deliverable
Was Sie in Ihrem Bericht sehen
Jedes Engagement endet mit einem klaren, priorisierten Bericht: nach Schweregrad bewertete Findings mit CVSS-Scores, betroffenen Assets und Remediation-Status - plus kostenlosem Retest. Die folgenden Zahlen sind illustrativ.
Findings nach Schweregrad
14 total
Critical
0
High
4
Medium
6
Low
4
High · CVSS 7.6CX-1602
MFA not enforced for all CDE admin access
PCI 8.4.2Cardholder Data EnvironmentOpen
High · CVSS 7.4CX-1608
PAN not rendered unreadable at rest
PCI 3.5.1Payments databaseOpen
Illustratives Muster: pci dss gap assessment - anonymisiert auf example.com.
Medium · CVSS 5.5CX-1614
Audit logs not reviewed daily
PCI 10.4.1CDE systemsOpen
Möchten Sie den vollständigen anonymisierten Beispielbericht? Wir legen ihn Ihrem Angebot bei.
Kumulierte Werte aus der gesamten Projekthistorie unseres Teams
Unter NDA geteilt · Details anonymisiert
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Zertifizierungen unserer Tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Häufig gestellte Fragen
Nein - wir sind eine Sicherheitsberatung, kein Qualified Security Assessor und keine Zertifizierungsstelle. Wir machen Sie auditbereit: Wir führen die Gap-Analyse, die Segmentierungsprüfung und die Requirement-11-Penetrationstests durch und bereiten Ihre Nachweise vor, damit Ihre Selbstbewertung (SAQ) oder Ihr QSA-geführter Report on Compliance (ROC) reibungslos verläuft. Für das ASV-Scanning arbeiten wir mit einem PCI SSC Approved Scanning Vendor zusammen.