Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

PCI DSS-Konformität

PCI DSS 4.0.1 requires organizations that handle cardholder data to develop software securely and test it regularly. Learn how ImmuniWeb helps you meet Requirements 6 and 11.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung des Payment Card Industry Data Security Standards (PCI DSS)
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
Payment Card Industry Data Security Standard (PCI DSS) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung des Payment Card Industry Data Security Standards (PCI DSS)

What Is PCI DSS?

PCI DSS definiert technische und operative Anforderungen zum Schutz von Karteninhaberdaten (CHD) und sensiblen Authentifizierungsdaten, unabhängig davon, wo diese gespeichert, verarbeitet oder übertragen werden. Die 12 Anforderungen sind in sechs Control Objectives gruppiert, die Network Security, Data Protection, Vulnerability Management, Access Control, Monitoring und Security Policy abdecken.

Version 4.0 markierte einen Paradigmenwechsel: Sicherheit wird als kontinuierlicher, zum Alltagsgeschäft gehörender Prozess betrachtet, nicht als jährliches Ereignis. Organisationen validieren die Compliance mittels eines Selbstbewertungsfragebogens (SAQ) oder eines Konformitätsberichts (ROC) und definieren ihre Cardholder Data Environment (CDE) als Prüfumfang.

See how ImmuniWeb helps you meet PCI DSS Requirements 6 and 11— secure development and regular testing of your payment applications. Request a demo · or run a free Community Edition test.

Who Must Comply with PCI DSS?

Der PCI DSS gilt für jede Organisation in der Zahlungskette:

  • Händler jeder Größe, die Zahlungskarten akzeptieren (das Validierungsniveau richtet sich nach dem Transaktionsvolumen).
  • Service providers that store, process or transmit cardholder data on behalf of others.
  • Jede Entität, deren Systeme die Sicherheit der Cardholder Data Environment (CDE) beeinträchtigen könnten.

Public-facing web applications and payment pages are squarely in scope and must be protected and tested.

Wichtige PCI-DSS-Anforderungen für die Anwendungssicherheit

Two of the twelve requirements drive most application-security work:

  • Anforderung 6 – Entwicklung und Wartung sicherer Systeme und Software: Sichere Softwareentwicklung, zeitnahe Patches, Identifizierung und Verwaltung von Vulnerabilities sowie Schutz öffentlich zugänglicher Webanwendungen vor Angriffen (einschließlich Script-Kontrollen auf Zahlungsseiten in 6.4.3).
  • Anforderung 11 — Regelmäßige Tests der Sicherheit von Systemen und Netzwerken: interne und externe Schwachstellen-Scans (11.3) sowie interne und externe Penetrationstests (11.4) mindestens jährlich und nach wesentlichen Änderungen, sowie Änderungserkennung für Zahlungsseiten (11.6).

PCI-DSS-Sicherheitsanforderungen im Detail

Anforderung 6 — Sichere Systeme und Software

Requirement 6 expects a secure software development life cycle: software developed following secure coding practices, vulnerabilities identified and risk-ranked, and public-facing web applications protected against the OWASP Top 10. Sub-requirement 6.4.3 adds controls over scripts loaded on payment pages to counter web-skimming (Magecart) attacks.

Anforderung 11 — Regelmäßige Sicherheitstests

Anforderung 11 schreibt regelmäßige Vulnerability Scans (11.3) und Penetration Tests (11.4) vor – intern und extern, mindestens jährlich sowie nach signifikanten Änderungen –, wobei ausnutzbare Befunde behoben und die Tests wiederholt werden müssen, um die Korrekturen zu verifizieren.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Payment applications are a prime target. The web vulnerabilities PCI DSS expects you to prevent and test for map closely to the OWASP Top 10:

  • Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Ausfälle – schwache oder fehlende Verschlüsselung, die sensible Daten exponiert.
  • Injection — SQL-, Command- oder andere Injection via unvalidierter Eingabe.
  • Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
  • Security Misconfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — unvertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Sicherheitsprotokollierungs- und -überwachungsmängel — Angriffe bleiben unentdeckt.
  • Server-Side Request Forgery (SSRF) – Der Server wird dazu verleitet, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

So gehen Sie die Anwendungssicherheit im Rahmen von PCI DSS mit ImmuniWeb an

  1. Scope the CDE.Map internet-facing applications, payment pages and APIs in scope with ImmuniWeb Discovery.
  2. Sichere Entwicklung (Req 6). Verwenden Sie Neuron und Continuous, um Schwachstellen im gesamten SDLC zu finden und zu beheben.
  3. Penetration test (Req 11.4) web and mobile applications with On-Demand and MobileSuite — at least annually and after significant changes.
  4. Vulnerability scan (Req 11.3)regularly with Neuron.
  5. Remediate and retest with clear, zero-false-positive reports suitable for your QSA/ROC or SAQ.
  6. Keep testing continuously with Continuous to satisfy v4.0.1's business-as-usual model.

How ImmuniWeb Helps You Achieve PCI DSS Compliance

ImmuniWeb supports the PCI DSS application-security requirements with penetration testing and scanning that produce assessment-ready evidence.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Anforderung 6.2 / 6.3 Software sicher entwickeln; Schwachstellen identifizieren und verwalten. On-Demand, Neuron, Continuous
Req 6.4 Schützen Sie öffentlich zugängliche Webanwendungen vor Angriffen. On-Demand, Neuron, Continuous
Anforderung 11.3 Internal and external vulnerability scanning. Neuron, Discovery
Req 11.4 Interne und externe Penetrationstests. On-Demand, MobileSuite

ImmuniWeb On-Demand delivers manual, compliance-ready web application penetration testing; MobileSuite covers mobile apps; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the external attack surface to keep the CDE scope accurate.

PCI DSS im Vergleich zu internationalen Frameworks

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
PCI DSS 4.0.1 Anforderung 6 (Secure Dev) & Anforderung 11 (Testing) Web/mobile pentest + vulnerability scanning
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis
NIST CSF 2.0 Schutz-/Erkennungsfunktionen Applikationstests und Monitoring
OWASP ASVS Verifikationsstufen für Webanwendungen ASVS-konformes Testing

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Cardholder data environment (CDE) scoped, including web/payment pages
  • Etablierter sicherer SDLC (Anforderung 6)
  • Public-facing web apps protected and tested
  • Vulnerability scans performed regularly (Req 11.3)
  • Penetration testing at least annually and after significant changes (Req 11.4)
  • Payment-page script and change controls (6.4.3 / 11.6)
  • Befunde werden behoben und erneut getestet; Nachweise werden zur Bewertung aufbewahrt

Warum die Einhaltung von PCI DSS wichtig ist

PCI DSS wird vertraglich durch die Payment Card Brands und Acquiring Banks durchgesetzt. Non-Compliance kann monatliche Strafen, höhere Transaktionsgebühren und – nach einem Breach – erhebliche Haftung und sogar den Verlust der Fähigkeit zur Abwicklung von Kartenzahlungen zur Folge haben.

Web-Skimming und Anwendungsangriffe auf Zahlungsseiten sind nach wie vor eine der Hauptursachen für Kartendatenpannen, weshalb die Anforderungen 6 und 11 Anwendungstests in den Mittelpunkt stellen.

Häufig gestellte Fragen

  • Q
    What is PCI DSS?
    A
    Der Payment Card Industry Data Security Standard, ein globaler Standard des PCI SSC zum Schutz von Zahlungskartendaten, besteht aus 12 Anforderungen.
  • Q
    Wie lautet die aktuelle Version von PCI DSS?
    A
    v4.0.1, veröffentlicht am 11. Juni 2024; sie ist die einzige aktive Version, seit v4.0 am 31. Dezember 2024 zurückgezogen wurde, wobei neue Anforderungen seit dem 31. März 2025 verbindlich sind.
  • Q
    Wer muss PCI DSS einhalten?
    A
    Jede Organisation, die Karteninhaberdaten speichert, verarbeitet oder überträgt – Händler und Dienstleister jeder Größe.
  • Q
    What do Requirements 6 and 11 require?
    A
    Anforderung 6 schreibt eine sichere Entwicklung und ein Schwachstellenmanagement vor; Anforderung 11 verlangt regelmäßige Schwachstellenscans und Penetrationstests.
  • Q
    Does PCI DSS require penetration testing?
    A
    Yes — Requirement 11.4 requires internal and external penetration testing at least annually and after significant changes.
  • Q
    How does ImmuniWeb help with PCI DSS?
    A
    Through web and mobile application penetration testing and scanning that evidence Requirements 6 and 11, plus attack-surface mapping to keep CDE scope accurate.
  • Q
    What are the penalties for non-compliance?
    A
    Contractual fines from card brands and acquirers, increased fees, and breach liability — potentially including suspension of card-processing privileges.
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über
Payment Card Industry Data Security Standard (PCI DSS) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten