Zu verstehen, welche PCI-DSS-Anforderungen für Ihr Unternehmen gelten und welches Konformitätsniveau Sie benötigen, ist komplex. Diese Komplexität erschwert es, die tatsächlichen Kosten der PCI-Konformität ohne eine direkte Diskussion mit einem QSA abzuschätzen.
Ein kleines Unternehmen mit weniger als 20 Nutzern wird deutlich geringere Kosten haben als ein globales Unternehmen mit mehr als 500 Nutzern. Ein Unternehmen, das sich für ein SAQ qualifiziert, zahlt viel weniger als ein anderes, das eine Vor-Ort-Zertifizierung der Stufe 1 benötigt.
Im Folgenden listen wir die typischen Kosten im Zusammenhang mit der PCI-DSS-Konformität auf, von der Vorbereitung auf Ihre Zertifizierung bis zur jährlichen Wartung, um Ihnen bei der Ermittlung eines realistischen Budgets zu helfen.
Wie viel kostet die PCI-DSS-Konformität?
PCI DSS ist kein einheitlicher Rahmen. Das erforderliche Konformitätsniveau hängt von Faktoren wie den folgenden ab:
- Die Größe und der Typ des Unternehmens Ihrer Organisation
- Die Anzahl der Transaktionen, die Sie jährlich abwickeln
- Die Anforderungen Ihrer Kunden und Ihrer Acquirer-Bank
Es ist daher nicht verwunderlich, dass die Kosten der PCI-DSS-Konformität stark von diesen Faktoren abhängen. Ein globales Unternehmen, das Millionen von Kreditkartentransaktionen pro Jahr abwickelt, wird eine viel höhere Rechnung für die Konformität haben als ein kleiner E-Commerce-Shop.
Ihr Vorbereitungsgrad auf die PCI-DSS-Konformität ist ein weiterer wichtiger Faktor, der die PCI-Kosten beeinflusst. Je mehr Sie an der Aktualisierung Ihrer Richtlinien, Prozesse und Systemkonfigurationen arbeiten müssen, desto höher werden die Gesamtkosten für die Zertifizierung sein.
Mit diesen Faktoren im Hinterkopf betrachten wir eine Kostenschätzung für die PCI-Konformität für ein großes und ein kleines Unternehmen.
Durchschnittliche Kosten der PCI-Konformität
Im Durchschnitt kann ein großes Unternehmen, das Millionen von Zahlungen pro Jahr abwickelt, mit Kosten zwischen 50 und 200 Tsd. $ für die Erstellung eines Konformitätsberichts (RoC) rechnen. Ein kleines Unternehmen, das ein SAQ und ein Konformitätsnachweis (AoC) abschließt, zahlt wahrscheinlich 20 Tsd. $ oder weniger pro Jahr für die PCI-Konformitätskosten.
Typische Kosten der PCI-DSS-Konformität
Obwohl die Kostenbandbreite erheblich ist, werden alle Organisationen, die die PCI-Zertifizierung anstreben, wahrscheinlich bestimmte identische Kosten haben. Im Folgenden listen wir einige typische Kosten für die Vorbereitung, Erlangung und Aufrechterhaltung der PCI-Konformität auf.
Vorbereitungskosten
Die Konformitätskosten beschränken sich nicht nur auf Ihr Zertifizierungsaudit. Sie müssen auch die Kosten für die Anpassung Ihrer Systeme an die PCI DSS-Anforderungen berücksichtigen, was Schulungen der Mitarbeiter, Software- und Hardware-Updates sowie die Entwicklung von Richtlinien umfassen kann.
Netzwerksicherheit wie Cloudflare (200 $ pro Monat und mehr) oder ein IDS/IPS (500 $ und mehr)
PCI DSS verlangt, dass Sie über ein sicheres Netzwerk verfügen, was Dinge wie Firewall-Schutz, ein Eindringungserkennungs- oder -verhinderungssystem und DDoS-Abwehr umfassen kann.
Sie müssen auch interne Ressourcen einsetzen, um sicherzustellen, dass Ihr Netzwerk kontinuierlich überwacht wird und Sicherheitswarnungen rund um die Uhr beachtet werden.
Datenverschlüsselung: Produktivitätskosten
Beim PCI DSS geht es darum, Kartendaten zu schützen. Der Konformitätsstandard verlangt, dass Sie alle gespeicherten Zahlungsdaten verschlüsseln. Sie müssen die internen Ressourcen oder die Kosten für die Nutzung eines Dienstleisters berücksichtigen, um die verschlüsselten Zahlungsdaten zu speichern.
Antivirus-Software: 30 $ pro Jahr und Gerät
Antivirus-Software ist darauf ausgelegt, Viren und andere Schadprogramme von Ihren Laptops und Servern zu erkennen und zu entfernen. Die meisten kommerziellen Antivirenprogramme wie Norton oder Kaspersky werden als jährliches oder monatliches Abonnement angeboten und stellen eine wiederkehrende Kosten dar. In der Regel wird pro Gerät abgerechnet, sodass sich die Gesamtkosten je nach Unternehmensgröße erheblich unterscheiden können.
Mitarbeiterschulung: 20-30 $ pro Mitarbeiter und Jahr
Ihr wichtigstes Sicherheitsgut ist nicht Ihre Technologie, sondern Ihre Mitarbeiter. Jeder, der Zugang zu Ihrer Karteninhaltungsumgebung hat oder die Sicherheit der Kartendaten beeinträchtigen könnte, muss eine Sicherheitsbewusstseinsschulung erhalten, damit er seine Rolle und Verantwortung beim Schutz der Kartendaten versteht.
Entwickler müssen ebenfalls eine jährliche Schulung zur sicheren Programmierung erhalten, um sicherzustellen, dass sie sich der gängigen Programmierschwachstellen bewusst sind und sicheren Code schreiben. Personen, die in die Vorfallreaktion eingebunden sind oder Teil des Sicherheitsteams sind, müssen auch darin geschult werden, wie sie einen Sicherheitsvorfall erkennen, mindern und beheben können.
Da sich die Bedrohungslandschaft ständig weiterentwickelt, ist eine jährliche Sicherheitsschulung erforderlich, damit die Mitarbeiter die neuesten Risiken und bewährten Sicherheitspraktiken kennen.
Entwicklung von Sicherheitsrichtlinien: 1 000 $ und Produktivitätskosten
Der PCI verlangt, dass Ihr Team eine Reihe von Sicherheitsrichtlinien erstellt und pflegt. Wenn Sie sich entscheiden, Richtlinienvorlagen zu verwenden, um nicht bei Null anfangen zu müssen, könnte der Kauf zusätzliche Kosten verursachen. Der durchschnittliche Preis für ein Richtlinienpaket beträgt 1 000 $.
Ein Teil des Richtlinienentwicklungsprozesses besteht auch darin, diese Richtlinien in die Praxis umzusetzen, was bedeutet, dass Ihr Team Zeit darauf verwenden muss, die neuen Richtlinien offiziell zu überprüfen und zu akzeptieren und/oder die Mitarbeiter in neuen Prozessen zu schulen.
Je nach dem aktuellen Stand Ihrer Sicherheitsrichtlinien kann die Aktualisierung oder Entwicklung neuer Richtlinien zu einem erheblichen Produktivitätsverlust für Ihr Team führen und erfordert Fachkenntnisse bezüglich der spezifischen Anforderungen an PCI DSS-Richtlinien und -Prozesse.
Schwachstellenscans: 150-200 $ pro IP und Jahr für den ASV-Scan; 3 000 bis 5 000 $ pro Jahr für den internen Schwachstellenscan
Ein genehmigter Scananbieter (ASV) muss vierteljährlich Scans Ihrer externen Systeme durchführen, um auf Sicherheitslücken zu prüfen. ASVs sind Dienstleister, die vom PCI SSC bewertet und genehmigt wurden, um Scans durchzuführen. Sie finden eine Liste genehmigter Anbieter, die vom PCI Security Standards Council (PCI SSC) zusammengestellt wurde, hier. Ein interner Schwachstellenscan ist ebenfalls erforderlich, der vierteljährlich von einer im Schwachstellenscan erfahrenen Person durchgeführt werden muss.
Um konform zu bleiben, müssen Sie vierteljährliche Schwachstellenscans von einem genehmigten Scananbieter (ASV) durchführen lassen.
Penetrationstests: 3.000 bis 30.000 $, je nach Unternehmensgröße und Komplexität.
Wie bei den Schwachstellenscans helfen Ihnen die Penetrationstests, Schwachstellen in Ihrer Umgebung mit Kartendaten der Karteninhaber zu finden, bevor diese von einem tatsächlichen Angreifer ausgenutzt werden können. Penetrationstests müssen manuell durchgeführt werden und Segmentierungstests müssen alle 6 Monate für Dienstleister durchgeführt werden.
Penetrationstester (auch ethische Hacker genannt) suchen gezielt nach Sicherheitsproblemen, die automatisierte Scansysteme möglicherweise nicht identifizieren, und nutzen die gefundenen Schwachstellen aus, um das Ausmaß der Sicherheitsprobleme in Ihrer Umgebung zu überprüfen.
Penetrationstests sind jährlich erforderlich für PCI RoC, SAQ D, SAQ C, SAQ C-VT, SAQ B-IP und SAQ A-EP.
Kosten der PCI DSS-Zertifizierung
Sobald Sie vollständig auf die PCI DSS-Zertifizierung vorbereitet sind, sind Sie bereit für einen Fragebogen zur Selbsteinschätzung oder einen Konformitätsbericht. Da die Zertifizierung ein Jahr dauert, sollten Sie diese Zertifizierungskosten als jährliche Investition betrachten.
Fragebogen zur Selbsteinschätzung (SAQ): 15.000 bis 50.000 $
Ein Fragebogen zur Selbsteinschätzung (SAQ) ist ein Dokument, das schrittweise Fragen zu jeder PCI-Anforderung stellt und es Ihnen ermöglicht, Ihren Konformitätsgrad basierend auf Ihrer Implementierung zu bestimmen und festzustellen, ob die Implementierung die Anforderungen erfüllt. Sofern Sie kein Händler oder Dienstleister der Stufe 1 sind, ist Ihre Organisation für einen SAQ berechtigt. Wir empfehlen, die Unterstützung von Secureframe oder einem Prüfer in Anspruch zu nehmen, um Ihren SAQ zu qualifizieren und die Bewertung in Ihrem Namen durchzuführen, um sicherzustellen, dass der SAQ alle Anforderungen Ihrer Kunden oder Acquirer-Banken erfüllt.
Konformitätsprüfung durch einen qualifizierten Sicherheitsgutachter (QSA): 30.000 $ - 200.000 $
Händler und Dienstleister der Stufe 1 müssen sich einer vollständigen Konformitätsprüfung unterziehen. Am Ende Ihrer Prüfung stellt der QSA einen Konformitätsbericht (RoC) aus, der die Karteninhaberdatenumgebung Ihrer Organisation, Ihre Sicherheitslage und Ihren PCI DSS-Konformitätsgrad detailliert beschreibt. Einige Händler und Dienstleister der Stufe 2 müssen ebenfalls eine Drittanbieterprüfung durchlaufen.
Ihr RoC oder SAQ ist ein Jahr gültig, sodass Sie den Prozess jedes Jahr abschließen müssen, um die Zertifizierung aufrechtzuerhalten. Die Kosten für die SAQ-Dokumentation und/oder die Sicherheitsprüfung müssen Sie jedes Jahr tragen.
Sparen Sie Geld bei der PCI-Konformität.
Software zur Compliance-Automatisierung kann diese Kosten erheblich senken, indem es eine Bibliothek mit vorgefertigten Sicherheitsrichtlinien bereitstellt, Mitarbeiterschulungen auf Abruf anbietet, die automatische Erfassung von Nachweisen ermöglicht und Unterstützung durch einen PCI DSS-Experten bietet. Erfahren Sie mehr darüber, wie PCI-Compliance mit einer End-to-End-Lösung wie Secureframe kostengünstig sein kann.