PCI-Konformitätszertifikat

ZERTIFIZIERUNG · PCI DSS

Unabhängige QSA-Bewertung in allen Kontrollbereichen abgeschlossen.

Shufti ist PCI-DSS-zertifiziert. Die Zertifizierung wurde von einem qualifizierten Sicherheitsgutachter (QSA) durchgeführt, einem unabhängigen, vom PCI Council zugelassenen Prüfer, der die Shufti-Kontrollen durch die Überprüfung von Nachweisen, technische Tests und Interviews validiert hat. Mit der Integration von Shufti nutzen Sie eine Plattform, die unabhängig nach demselben Standard geprüft wurde, den auch Ihre eigene Kartenverarbeitungsinfrastruktur erfüllen muss.

Demo anfordern Kontakt

Was ist PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) ist ein globaler Sicherheitsstandard für alle Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übermitteln. Er wird vom PCI Security Standards Council durchgesetzt und umfasst zwölf Anforderungen in sechs Sicherheitsbereichen. Für Shufti-Integrationen sind zwei Versionen relevant.

Die 12 Kontrollanforderungen

Netzwerksicherheit, Datenschutz, Schwachstellenmanagement, Zugriffskontrolle, Überwachung und Informationssicherheitsrichtlinien. Ein QSA validiert jede Domäne anhand von Live-Produktionsdaten, Firewall-Konfigurationen, Verschlüsselungsimplementierungen, Zugriffsprotokollen, Patch-Archiven, Penetrationstest-Ergebnissen und Verfahren zur Reaktion auf Sicherheitsvorfälle.

PCI DSS 4.0 (März 2025)

PCI DSS 4.0 führte zusätzliche Anforderungen ein, die viele Plattformen erst jetzt erfüllen müssen: Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf alle Karteninhaberdaten, verbesserte Protokollierung und gezielte Risikoanalyse. Diese Anforderungen wurden im März 2025 verpflichtend. Shufti erfüllte sie bereits vor dem Stichtag; sie waren implementiert, bevor dies gesetzlich vorgeschrieben war.

Warum es wichtig ist

Wenn Ihr Verifizierungsprozess Zahlungs- oder Finanzdaten berührt – und das trifft auf die meisten Fintech-, Bank- und E-Commerce-Systeme zu –, birgt jeder Anbieter in diesem Prozess ohne PCI-DSS-Zertifizierung ein Compliance-Risiko für Ihre eigene Karteninhaberdatenumgebung. Ein QSA (Qualified Security Agent), der Ihre Infrastruktur bewertet, wird daher nach Drittanbietern fragen.

Wir können Ihrem QSA unsere Konformitätsbescheinigung (AoC) direkt zukommen lassen.

Dadurch wird der Umfang ihrer Bewertung der Shufti-Integrationsschicht reduziert, da Ihr Team die Shufti-Kontrollen nicht unabhängig validieren muss, sondern die AoC als Nachweis akzeptiert wird. Das spart Zeit und Kosten bei Ihrem nächsten PCI-Auditzyklus.

100 $/Monat

Die maximale Geldstrafe bei Nichteinhaltung der PCI-Standards, vor den Kosten für forensische Prüfungen, die separat bis zu 500 US-Dollar betragen können. Die Vereinbarung mit Shufti (AoC) beseitigt uns als Haftungsrisiko im Rahmen Ihres Qualitätssicherungsbeauftragten (QSA).

Wie Shufti die IT aufrechterhält

Die PCI-DSS-Konformitätsbescheinigung von Shufti wird nach jeder jährlichen Prüfung durch die QSA ausgestellt. Alle Datenübertragungen erfolgen mindestens mit TLS 1.2; alle gespeicherten Ausweisdokumente und biometrischen Daten werden mit AES-256 verschlüsselt. Die Multi-Faktor-Authentifizierung (MFA) wird an jedem Zugriffspunkt auf die Karteninhaberdatenumgebung erzwungen und ist in den während der QSA-Prüfung eingesehenen Zugriffsprotokollen nachvollziehbar.

Zwischen den QSA-Zyklen führen wir vierteljährliche Schwachstellenscans und jährliche Penetrationstests durch. Die entsprechenden Nachweise sind in der AoC-Dokumentation enthalten.

Details zur Zertifizierung

Bewertet von

Unabhängiger, vom PCI Council zugelassener Qualified Security Assessor (QSA).

Version

PCI DSS 4.0, alle 12 Anforderungen, alle 6 Sicherheitsdomänen.

Geltungsbereich

Verarbeitung von Identitätsdokumenten, biometrischen Daten und Ausgabepipeline für die Verifizierung.

Bewertungsart

Unabhängige QSA-Bewertung, keine Selbsteinschätzung.

Was dich erwartet

Die Konformitätsbescheinigung (AoC) ist auf Anfrage und nach Unterzeichnung direkt für Ihren QSA erhältlich.