Zurück zum Blog
POS & Payment

PCI DSS 4.0.1 2026: Karten-Compliance für KMU

Seit 31. März 2025 sind alle Anforderungen von PCI DSS 4.0 / 4.0.1 verbindlich. Wer 2026 noch nach 3.2.1 dokumentiert ist – oder schlimmer: gar nicht – riskiert höhere Disagio-Gebühren, Sperre durch Acquirer und im Schadensfall Schadenersatz und Bussen. Für die meisten Schweizer KMU mit Kartenakzeptanz reicht ein sauberer SAQ A oder SAQ B-IP – mit dem richtigen Zahlungsdienstleister, klarer Netzwerk-Trennung und automatisierten Scans. So bauen Sie pragmatisch PCI-DSS-4.0.1-Compliance auf, ohne in den SAQ-D-Sumpf zu rutschen.

Autor: Gian Marco Ma Mai 2026 12 Min. Lesezeit

Kurz vorweg: PCI DSS ist nicht Schweizer Recht, sondern Vertragspflicht durch Visa/Mastercard/Acquirer (Worldline, Nexi, Adyen, Stripe). Verstoss kostet höhere Disagio-Sätze, Sperre, Bussen bei Schäden. Für 80 % der KMU ist SAQ A (Outsourcing) oder SAQ B-IP (modernes Terminal) der richtige Pfad. Pflicht ab März 2025: E-Skimming-Schutz im Online-Shop (Req. 6.4.3, 11.6.1), MFA für jeden Zugriff (Req. 8.4), phishing-resistente MFA empfohlen. Quartalsweise ASV-Scans, jährlicher Pen-Test, SAQ jährlich an Acquirer.

Wer ist betroffen?

1

Detailhandel & Gastro

Terminal-Zahlung im Laden, Restaurant, Take-Away. Häufig SAQ B oder B-IP mit P2PE-zertifiziertem Terminal (Nexi SmartPOS, SwiPay, PayTec).

2

E-Commerce

Online-Shop mit Kartenzahlung. SAQ A bei Hosted Checkout (Stripe, Datatrans, PostFinance), SAQ A-EP bei iframe-Integration im eigenen Shop.

3

B2B-Services

Rechnungen mit Kreditkarten-Bezahllink, Subscription-Models, SaaS-Bezahlseiten. Meist SAQ A mit Stripe/Adyen/Mollie/Worldline.

4

Mail Order / Call Center

Telefonische Kartenakzeptanz (MOTO). Spezielle Risiko-Lage durch Tonaufnahmen, IVR-Lösung mit DTMF-Masking als Best Practice.

5

Eventveranstalter

Ticketing-Plattformen, Eintritt mit Karte. Meist Outsourcing an Eventfrog, Ticketcorner, Stripe – SAQ A.

6

Nicht betroffen

Reine TWINT-, QR-Rechnung-, Banküberweisung-Akzeptanz. Cash-only. Aber: sobald Karten dazukommen, gilt PCI DSS.

SAQ-Auswahl: Welcher Pfad?

SAQ A – Vollständiges Outsourcing

E-Commerce mit Redirect oder Hosted Payment Page. Kartendaten berühren niemals Ihre Infrastruktur. Anbieter: Stripe Hosted Checkout, Datatrans Hosted Payment Page, PostFinance Checkout, Worldline Smart Payment Page. Ca. 30 Fragen. Geringste Aufwand.

SAQ A-EP – iframe / E-Skimming-Risiko

Online-Shop mit iframe-Integration auf Ihrer Seite (z. B. Stripe Elements). Browser lädt Skripte von Ihrer Seite – Magecart-Angriffe möglich. Pflicht: Skript-Inventar und Integritäts-Überwachung (Akamai PIM, Cloudflare Page Shield, Jscrambler).

SAQ B / B-IP – Klassisches Terminal

Stand-Alone-Terminal (B) oder IP-Terminal (B-IP) mit P2PE-Zertifikat. Kartendaten gehen verschlüsselt direkt zum Acquirer. Häufigster Pfad für Schweizer Detailhandel/Gastro. Voraussetzung: Terminal-Liste vom Acquirer, sauber abgegrenztes Netz.

SAQ C / C-VT – Eigener POS / Virtual Terminal

POS-Computer mit Kassen-Software ODER Browser-basiertes Virtual Terminal. Mehr Aufwand als B, weil eigene Geräte im Karten-Scope. Empfohlen: P2PE-Lösung des POS-Anbieters, sonst rutscht man schnell in SAQ D.

SAQ D – Restkategorie

Komplexe Setups, eigene Karten-Verarbeitung, gespeicherte Karten, Tokenisierung intern, Mischformen. Ca. 350 Fragen. Für KMU meist nicht wirtschaftlich – Setup auf SAQ A oder B-IP redesignen.

Neue Anforderungen ab März 2025

  • Req. 8.4.2: MFA für jeden Zugriff auf die Karten-Daten-Umgebung – nicht nur Admin-Konten. Gilt auch für Anwender, Dienste, Skripte.
  • Req. 8.3.10.1: Mindestens 12-stellige Passwörter und ein zweiter Faktor – wenn nicht MFA, dann passwortlos.
  • Req. 6.4.3: Skript-Inventar auf Bezahlseiten. Welche Skripte werden geladen, von wem, mit welchem Zweck? Subresource Integrity (SRI) oder gleichwertiger Schutz.
  • Req. 11.6.1: Integritäts-Überwachung der Skripte und HTTP-Header auf Bezahlseiten. Manipulation muss schnell detektiert werden – gegen E-Skimming (Magecart).
  • Req. 11.3.1: Externe ASV-Scans vierteljährlich von zugelassenem Approved Scanning Vendor – z. B. Qualys, Tenable, Trustwave, ControlCase.
  • Req. 11.4: Jährlicher externer Penetration-Test plus Pen-Test bei jeder grösseren Änderung.
  • Req. 10.5: Audit-Logs einer manipulationssicheren Speicherung über mindestens 12 Monate (3 Monate online verfügbar).
  • Req. 5.4.1: Phishing-resistente MFA für privilegierte Zugriffe stark empfohlen – FIDO2 / Passkey statt SMS/OTP.
  • Req. 12.5.2: Risiko-Analyse und Bestandsführung des PCI-Scopes jährlich – inklusive aller Datenflüsse.
  • Customized Approach: Alternativ zu „Defined Approach" können Massnahmen risiko-basiert ausgewählt werden – braucht aber sauberes Targeted Risk Analysis Dokument.

8-Wochen-Roadmap zum SAQ

1

Woche 1 – Scope & Datenfluss

Wo werden Karten akzeptiert? Welche Geräte/Systeme/Cloud-Dienste sehen Karten-Daten? Datenfluss-Diagramm pro Akzeptanz-Kanal erstellen.

Konkret: Karten-Datenfluss-Diagramm, Scope-Definition.
2

Woche 2 – SAQ-Wahl & Acquirer

SAQ-Typ identifizieren (A, A-EP, B-IP, C, D). Acquirer (Worldline, Nexi, Adyen, Stripe, PostFinance) kontaktieren: welcher SAQ wird verlangt, gibt es Vorlagen?

Konkret: SAQ-Typ bestätigt, Acquirer-Anforderungen schriftlich.
3

Woche 3 – Netzwerk-Segmentierung

Falls SAQ B-IP/C/D: Karten-Daten-Umgebung netzwerkmässig vom Rest trennen (VLAN, Firewall-Regeln). Out-of-Scope-Dokumentation.

Konkret: Netz-Segmentierung wirksam, Firewall-Regelwerk dokumentiert.
4

Woche 4 – MFA & Härtung

MFA für jeden Zugriff auf Karten-Scope (Req. 8.4.2). Phishing-resistente MFA (FIDO2) für privilegierte Konten. CIS-Härtung der relevanten Server/Workstations.

Konkret: MFA flächendeckend, FIDO2 für Admins, CIS-Härtung aktiv.
5

Woche 5 – E-Skimming-Schutz (falls A-EP)

Skript-Inventar erstellen, Cloudflare Page Shield / Akamai PIM / Jscrambler aktivieren, CSP-Header setzen, Subresource Integrity einsetzen.

Konkret: Skript-Monitoring aktiv, CSP/SRI auf Bezahlseiten.
6

Woche 6 – Scans & Pen-Test

ASV-Vendor (Qualys, Tenable) beauftragen, externen Scan durchführen, Findings beheben. Internen Schwachstellen-Scan etablieren. Pen-Test planen.

Konkret: ASV-Scan grün, interner Scan Quartals-Rhythmus.
7

Woche 7 – Logging & Backup

Audit-Logs (Req. 10) zentral sammeln (SIEM), 12 Monate aufbewahren, manipulationssicher. Backup-Strategie inkl. Karten-Scope-relevante Systeme.

Konkret: Logging zentralisiert, Backup für Scope-Systeme produktiv.
8

Woche 8 – SAQ ausfüllen & einreichen

SAQ-Dokument vollständig beantworten, Acquirer-Portal hochladen, Attestation of Compliance unterzeichnen. Quartals-Reviews einplanen.

Konkret: SAQ eingereicht, AoC unterzeichnet, Operate-Rhythmus aktiv.

Typische Stolpersteine

  • PCI DSS ignoriert weil „nur paar Kartenzahlungen": Schwellenwert gibt es nicht – jede Akzeptanz erfordert SAQ.
  • Falscher SAQ gewählt: SAQ A bei iframe-Integration ist falsch, korrekt ist A-EP. Falsch ausgefüllter SAQ ist im Schadensfall wertlos.
  • E-Skimming unterschätzt: Magecart-Angriffe steigen 2025/2026 stark – ohne Page Shield / SRI sind Bezahlseiten verwundbar.
  • Karten-Daten in E-Mails/Chat: Mitarbeitende erhalten Karten per Mail, speichern in CRM – Compliance-Bruch, sofortiges Verbot, Prozess umstellen.
  • Telefon-Akzeptanz ohne DTMF-Masking: Karten-Nummer am Telefon landet auf Audio-Aufzeichnung, in Notizen – kritischer Compliance-Verstoss.
  • MFA nur für Admins: Req. 8.4.2 verlangt MFA für jeden Zugriff auf Karten-Scope – seit März 2025.
  • ASV-Scans nur einmal jährlich: vierteljährlich Pflicht. Findings sind innert 30 Tagen zu beheben oder zu rechtfertigen.
  • Pen-Test ausgelassen: jährlicher externer Pen-Test ist Pflicht – nicht ASV-Scan. Pen-Tester sind seriös ab ca. CHF 8'000.
  • POS-Software unsupportet: Kassen mit Windows 7 oder veralteten Linux-Distros sind out-of-the-box non-compliant. Upgrade vor SAQ.
  • Out-of-Scope-Annahme falsch: WLAN, das im selben Switch hängt wie Karten-Scope-Geräte, ist NICHT out-of-scope – sauber trennen.

Fazit: PCI DSS muss kein Monster sein

PCI DSS 4.0.1 ist 2026 Pflicht für jedes Schweizer KMU mit Kartenakzeptanz. Die gute Nachricht: für die meisten KMU reicht SAQ A oder SAQ B-IP – das ist mit dem richtigen Zahlungsdienstleister und einem sauberen Netzwerk-Setup pragmatisch lösbar. Schlüssel ist, den Karten-Scope so klein wie möglich zu halten: Outsourcing über Hosted Checkout, P2PE-Terminals, MFA überall, automatisierte Scans.

E-Skimming ist die akute Bedrohung 2026 – wer einen Online-Shop mit iframe-Integration betreibt, kommt um Page Shield / PIM / SRI nicht herum. Wer Telefonbestellungen annimmt, braucht DTMF-Masking. Wer Karten in CRM/E-Mail speichert, muss sofort umbauen. Ein 8-Wochen-Plan reicht für 90 % der KMU, jährliche SAQ-Erneuerung dann Routine. Tipp: Acquirer früh ins Boot holen – sie haben Vorlagen, Standard-Aussagen und akzeptieren saubere SAQs schneller, als das Internet vermuten lässt.

PCI-DSS-Compliance ohne Aufwand-Inflation

Wir wählen den richtigen SAQ, schneiden Ihren Karten-Scope klein, härten Netz & MFA, setzen E-Skimming-Schutz und führen Sie in 8 Wochen zur unterschriebenen AoC.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen