FRAMEWORK · PCI-DSS v4.0

PCI-DSS v4.0.
Für alle, die Karten verarbeiten.

Wenn Ihr Unternehmen Kartendaten verarbeitet, speichert oder überträgt (physische POS, E-Commerce, POS-Terminals), ist PCI-DSS v4.0 verpflichtend. Itamite deckt die technischen Anforderungen an Endpoints (Anf. 5, 6, 7, 8, 10, 11.5) mit signierten Nachweisen für Ihren QSA ab.

Preise ansehen PCI-DSS-Demo

PCI-Level nach Volumen

Level 1: > 6 Mio. Transaktionen/Jahr. Jährliches QSA-Audit verpflichtend + vierteljährlicher ASV-Scan. Level 2: 1-6 Mio. Transaktionen. Jährliches SAQ (Self Assessment Questionnaire) + vierteljährlicher ASV-Scan. Level 3: 20K-1M E-Commerce. Jährliches SAQ + vierteljährlicher ASV-Scan. Level 4: < 20K E-Commerce oder < 1 Mio. gesamt. Jährliches SAQ empfohlen.

Strafen bei Nichtkonformität: 5.000-100.000 USD/Monat je nach Acquiring-Bank. Im Fall einer Verletzung: bis zu 500.000 USD pro Vorfall + möglicher Ausschluss von der Kartenverarbeitung.

PCI-ANFORDERUNGEN ↔ ITAMITE

Punkt-für-Punkt-Mapping

Anf. 5 — Antimalware-Schutz

Itamite prüft kontinuierlich: AV installiert und betriebsbereit (5.2.1), AV aktualisiert <7 Tage (5.2.2), AV scannt automatisch (5.2.3), keine Möglichkeit der Deaktivierung durch Endbenutzer (5.2.5). Kompatibel mit CrowdStrike, SentinelOne, Defender, Sophos, ESET, Kaspersky.

Anf. 6 — Sichere Systeme und Anwendungen

Erkennung ausstehender kritischer Patches (6.3.3), Software-Inventar mit Versionen (6.2), Warnung bei EOL-Software, bekannte CVE-Schwachstellen in erkannter Software (6.2.4).

Anf. 7 — Funktionsbasierte Zugriffsbeschränkung

Erkennung lokaler Administratorkonten und ihrer Begründung (7.2), Least-Privilege-Richtlinien (7.2.2), regelmäßige Zugriffsüberprüfung (7.2.4). AD/Azure-AD-Integration für zentrale Verwaltung.

Anf. 8 — Identifizierung und Authentifizierung

Passwort-Richtlinie (Länge, Komplexität, Ablauf — 8.3), MFA für administrative Zugriffe (8.4), Erkennung inaktiver Konten, Gastkonto deaktiviert. Vollständiges Anmelde-Audit.

Anf. 10 — Protokollierung und Überwachung

Hash-Chain-unveränderliches Audit aller administrativen Aktivitäten (10.2), Mindestaufbewahrung 1 Jahr mit 3 Monaten sofort verfügbar (10.5.1), NTP-Zeitsynchronisation (10.6), automatische tägliche Log-Überprüfung (10.4.1).

Anf. 11.5 — Erkennung nicht autorisierter Änderungen

Itamite erkennt Änderungen an der kritischen Konfiguration jedes Geräts und warnt bei nicht autorisierten Modifikationen (11.5.2). Deklarative Richtlinien, die Änderungen automatisch zurücksetzen.

HÄUFIGE FRAGEN

Fragen zu PCI-DSS

Ist Itamite PCI-DSS-konform?
Itamite speichert KEINE Kartendaten (PAN, CVV usw.) selbst. Der PCI-Geltungsbereich der Plattform selbst ist daher begrenzt. Stripe (unser Zahlungsabwickler) ist PCI-DSS Level 1. Ihre Nutzung von Itamite erweitert Ihren PCI-Geltungsbereich nicht, solange Sie es nur für IT-Management verwenden.
Deckt es den vierteljährlichen ASV-Scan ab?
Nicht direkt. Der ASV-Scan ist ein externer Web-Schwachstellenscan eines Approved Scanning Vendor (Qualys, Tenable, Trustwave). Itamite ist komplementär: Es deckt den internen Zustand der Endpoints ab, nicht den Perimeterscan.
Und für Umgebungen mit physischen POS?
Besonders nützlich. Jedes POS-Terminal muss den Itamite-Agenten haben. Kontinuierliche Überprüfung: AV aktiv, Patches aktuell, korrekte Konfiguration, keine nicht autorisierte Software. Reduziert das Risiko von Skimming/POS-Malware drastisch.
Ist der Itamite-Bericht für QSA gültig?
Ja, als technischer Nachweis der abgedeckten Anforderungen. Der QSA wird dennoch eigene Prüfungen durchführen. Itamite reduziert die Auditzeit, indem es vorbereitete und signierte Nachweise liefert.
Wie stark senkt es die QSA-Auditkosten?
Je nach QSA und Geltungsbereich typischerweise 20-40 % Reduktion der abrechenbaren Stunden, weil technische Nachweise im direkten Format vorbereitet sind. Einige QSAs empfehlen ihren Kunden bereits Tools wie Itamite zur Beschleunigung des Prozesses.

Bevorstehendes PCI-DSS-Audit?

Demo orientiert an Ihrem PCI-Level mit echtem Retail/E-Commerce-Fall. Wir zeigen Ihnen den technischen Bericht für den QSA.

Preise ansehen Demo anfordern