Payment Card Industry Data Security Standard

PCI DSS Compliance-Leitfaden

Der Payment Card Industry Data Security Standard (PCI DSS) schuetzt Karteninhaberdaten bei Haendlern, Dienstleistern und Zahlungsabwicklern. Ob Stufe 1 oder Stufe 4 – wir helfen Ihnen, alle 12 Anforderungen mit klaren Nachweisen und Audit-Bereitschaft umzusetzen.

Compliance-Bewertung starten Implementierungsgespraech buchen

Was ist PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Satz von Sicherheitsstandards, der sicherstellen soll, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder uebertragen, eine sichere Umgebung aufrechterhalten. Er wird vom PCI Security Standards Council verwaltet, das von den grossen Kartenmarken (Visa, Mastercard, American Express, Discover, JCB) gegruendet wurde.

Warum das jetzt wichtig ist: PCI DSS v4.0 wurde am 31. Maerz 2024 verpflichtend. Der aktualisierte Standard fuehrt angepasste Implementierungsansaetze, erweiterte MFA-Anforderungen und E-Commerce-Schutzmassnahmen gegen Skimming-Angriffe auf Zahlungsseiten ein.

Vertragliche Anforderung

Durchgesetzt von Zahlungsmarken und Acquiring-Banken

Kontinuierliche Compliance

Jaehrliche Bewertungen, vierteljaehrliche Scans, laufende Kontrollen

Ergaenzt SOC 2-Compliance und ISO 27001-Zertifizierung.

Wer muss konform sein?

Haendler

Jede Organisation, die Zahlungskarten akzeptiert (alle Volumina)

Dienstleister

Unternehmen, die CHD im Auftrag anderer verarbeiten, speichern oder uebertragen

Zahlungsabwickler

Drittanbieter, die Kartentransaktionen verarbeiten

Zahlungsgateways

E-Commerce-Plattformen, die Kartendaten verarbeiten

Hosting-Anbieter

Infrastruktur, die CDE-Systeme hostet

Zahlungsanwendungen

Softwareanbieter mit PA-DSS/PCI-SSF-validierten Anwendungen

Wie VerifyWise die PCI-DSS-Compliance unterstuetzt

Konkrete Funktionen, die die Kontrollen jeder Anforderung adressieren

Inventarisierung und Klassifizierung von Karteninhaberdaten

Verfolgen Sie, wo Karteninhaberdaten (CHD) durch Systeme fliessen. Ordnen Sie primaere Kontonummern (PAN), sensible Authentifizierungsdaten und Servicecodes zu, um Speicherorte, Uebertragungspfade und Aufbewahrungsfristen zu identifizieren.

Adressiert: Anforderung 3: Gespeicherte Karteninhaberdaten schuetzen, Anforderung 4: Uebertragung verschluesseln

Dokumentation der Netzwerksegmentierung

Dokumentieren Sie die Netzwerkarchitektur mit den Grenzen der Karteninhaberdatenumgebung (CDE). Die Plattform pflegt Netzwerkdiagramme, Firewall-Regeln und Segmentierungskontrollen fuer die Anforderungen 1 und 2.

Adressiert: Anforderung 1: Netzwerksicherheitskontrollen installieren und pflegen, Anforderung 2: Sichere Konfigurationen anwenden

Zugriffskontrolle und Authentifizierungsverfolgung

Verwalten Sie den Benutzerzugriff auf CDE-Systeme mit rollenbasierten Kontrollen. Verfolgen Sie Authentifizierungsmechanismen, Multi-Faktor-Authentifizierungsbereitstellung und eindeutige ID-Zuweisung fuer die Compliance mit Anforderung 8.

Adressiert: Anforderung 7: Zugriff einschraenken, Anforderung 8: Benutzer identifizieren und Zugriff authentifizieren

Schwachstellenmanagement-Lebenszyklus

Verfolgen Sie Patch-Management, Antivirus-Bereitstellungen und sichere Entwicklungspraktiken. Die Plattform pflegt Schwachstellen-Scan-Ergebnisse, Behebungszeitplaene und Nachweise fuer sichere Programmierung.

Adressiert: Anforderung 5: Systeme vor Malware schuetzen, Anforderung 6: Sichere Systeme entwickeln und pflegen

Protokollierung und Ueberwachungsnachweise

Zentralisieren Sie Audit-Log-Aufbewahrung, Ueberpruefungsplaene und Intrusion-Detection-System-(IDS)-Konfigurationen. Generieren Sie Nachweise fuer Log-Analyse, Dateiintegritaetsueberwachung und Sicherheitsereigniskorrelation.

Adressiert: Anforderung 10: Zugriff protokollieren und ueberwachen, Anforderung 11: Sicherheit regelmaessig testen

Richtlinienmanagement und Incident Response

Pflegen Sie die vollstaendige PCI-DSS-Richtliniensuite mit Versionskontrolle und Genehmigungsworkflows. Dokumentieren Sie Incident-Response-Plaene, Sicherheitsbewusstseinstraining und jaehrliche Risikobewertungen.

Adressiert: Anforderung 12: Informationssicherheit mit Richtlinien unterstuetzen, Anforderung 9: Physischen Zugriff einschraenken

Alle Compliance-Aktivitaeten werden mit Zeitstempeln, zugewiesenen Verantwortlichen und Genehmigungsworkflows verfolgt. Dieser Audit-Trail demonstriert kontinuierliche Compliance statt punktueller Dokumentation.

Vollstaendige PCI-DSS-Anforderungsabdeckung

VerifyWise bietet dedizierte Tools fuer alle 12 Anforderungen ueber 6 Sicherheitsziele hinweg

PCI-DSS-Anforderungen

Anforderungen mit dedizierten Tools

100%

Abdeckung ueber alle Sicherheitsziele

Netzwerksicherheit8/8

Firewalls, Verschluesselung, sichere Konfigurationen

Karteninhaberdaten6/6

Speicherung, Uebertragung, Entsorgung

Schwachstellenmgmt6/6

Patching, Antivirus, sichere Entwicklung

Zugriffskontrolle7/7

Authentifizierung, Autorisierung, physisch

Ueberwachung5/5

Protokollierung, Tests, Incident Response

Richtlinien3/3

Sicherheitsrichtlinie, Bewertungen

Entwickelt fuer Zahlungssicherheits-Compliance

Karteninhaberdaten-Mapping

CHD-Fluesse und CDE-Grenzen mit automatisierter Erkennung verfolgen

ASV-Scan-Integration

Vierteljaehrliche externe Schwachstellen-Scan-Verfolgung und -Behebung

ROC- und SAQ-Generierung

Nachweispakete fuer QSA-Audits oder Selbstbewertungen

Multi-Framework-Zuordnung

Zuordnung zu SOC 2, ISO 27001 und NIST CSF-Anforderungen

12 PCI-DSS-Anforderungen

Organisiert unter 6 Sicherheitszielen fuer umfassenden Karteninhaberdatenschutz

Ein sicheres Netzwerk und sichere Systeme aufbauen und pflegen

Anforderung 1

Netzwerksicherheitskontrollen installieren und pflegen

Firewalls und Router schuetzen die Karteninhaberdatenumgebung

Anforderung 2

Sichere Konfigurationen auf alle Systemkomponenten anwenden

Herstellerstandards werden geaendert, unnoetige Dienste deaktiviert

Karteninhaberdaten schuetzen

Anforderung 3

Gespeicherte Karteninhaberdaten schuetzen

CHD-Speicherung minimiert, PAN maskiert, Verschluesselung angewendet

Anforderung 4

Karteninhaberdaten mit starker Kryptografie bei der Uebertragung schuetzen

Verschluesselung ueber offene, oeffentliche Netzwerke

Ein Schwachstellenmanagement-Programm pflegen

Anforderung 5

Alle Systeme und Netzwerke vor Schadsoftware schuetzen

Antivirus, Anti-Malware bereitgestellt und gepflegt

Anforderung 6

Sichere Systeme und Software entwickeln und pflegen

Sicherheitspatches, sichere Entwicklungspraktiken

Starke Zugriffskontrollmassnahmen implementieren

Anforderung 7

Zugriff auf Systemkomponenten und Karteninhaberdaten einschraenken

Need-to-know-Zugriff, rollenbasierte Kontrollen

Anforderung 8

Benutzer identifizieren und Zugriff auf Systemkomponenten authentifizieren

Eindeutige IDs, Multi-Faktor-Authentifizierung

Anforderung 9

Physischen Zugriff auf Karteninhaberdaten einschraenken

Physische Sicherheitskontrollen fuer Systeme und Medien

Netzwerke regelmaessig ueberwachen und testen

Anforderung 10

Zugriff auf alle Systemkomponenten und Karteninhaberdaten protokollieren und ueberwachen

Audit-Trails, Log-Ueberpruefungsprozesse

Anforderung 11

Sicherheit von Systemen und Netzwerken regelmaessig testen

Schwachstellen-Scans, Penetrationstests

Eine Informationssicherheitsrichtlinie pflegen

Anforderung 12

Informationssicherheit mit organisatorischen Richtlinien und Programmen unterstuetzen

Sicherheitsrichtlinie, Risikobewertung, Incident Response

PCI DSS v4.0 – Wesentliche Aenderungen

Wichtige Aktualisierungen von v3.2.1 auf v4.0, gueltig ab 31. Maerz 2024

Angepasste Implementierung

Gezielte Risikoanalyse ersetzt Einheitskontrollen
Organisationen definieren Kontrollhaeufigkeit basierend auf Risikoprofil
Flexibilitaet bei der Erfuellung von Anforderungen

Authentifizierungsverbesserungen

Multi-Faktor-Authentifizierung (MFA) auf alle CDE-Zugriffe ausgeweitet
MFA fuer administrativen und Fernzugriff erforderlich
Phishing-resistente MFA empfohlen

E-Commerce und Phishing

Neue Anforderung zur Erkennung und Reaktion auf unautorisierten Code auf Zahlungsseiten
Skriptueberwachung und Aenderungserkennung fuer Web-Zahlungsformulare
Schutz vor Skimming-Angriffen

Rollen und Verantwortlichkeiten

Explizite Dokumentation der PCI-DSS-Rollen erforderlich
Verantwortlichkeit fuer jede Anforderung zugewiesen
Executive-Sponsorship dokumentiert

Uebergangszeitplan: v3.2.1 wurde am 31. Maerz 2024 ausser Kraft gesetzt. Alle Unternehmen muessen die Compliance mit v4.0 validieren. Einige Anforderungen haben zukuenftige Wirksamkeitsdaten bis zum 31. Maerz 2025 (als "Best Practice bis dahin" gekennzeichnet).

Haendler-Compliance-Stufen

Die Anforderungen variieren je nach jaehrlichem Transaktionsvolumen

Stufe 1

6M+ Transaktionen jaehrlich

Validierungsanforderungen

Jaehrliche Vor-Ort-Bewertung durch QSA oder internen Auditor (wenn von leitendem Angestellten unterzeichnet)
Vierteljaehrliche Netzwerk-Scans durch ASV
Report on Compliance (ROC) Einreichung
Attestation of Compliance (AOC)

Strafrisiko

Hoechstes Risiko: 5.000-100.000 USD/Monat Bussgelder, Kartenmarken-Strafen

Stufe 2

1M-6M Transaktionen jaehrlich

Validierungsanforderungen

Jaehrlicher Selbstbewertungsfragebogen (SAQ)
Vierteljaehrliche Netzwerk-Scans durch ASV
Attestation of Compliance (AOC)
Je nach Kartenmarke kann eine Vor-Ort-Pruefung erforderlich sein

Strafrisiko

Erhebliche Bussgelder, erhoehte Transaktionsgebuehren

Stufe 3

20K-1M E-Commerce-Transaktionen

Validierungsanforderungen

Jaehrlicher Selbstbewertungsfragebogen (SAQ)
Vierteljaehrliche Netzwerk-Scans durch ASV
Attestation of Compliance (AOC)

Strafrisiko

Bussgelder bis zu 50.000 USD/Monat, Reputationsschaden

Stufe 4

Weniger als 20K E-Commerce oder 1M gesamt

Validierungsanforderungen

Jaehrlicher Selbstbewertungsfragebogen (SAQ)
Vierteljaehrliche Netzwerk-Scans durch ASV (falls zutreffend)
Compliance-Validierung kann je nach Acquirer variieren

Strafrisiko

Niedrigere Bussgelder, aber dennoch Risiko der Aussetzung der Kartenverarbeitung

24-Wochen-Implementierungsfahrplan

Ein praktischer Weg zur PCI-DSS-Compliance mit klaren Meilensteinen

Phase 1Wochen 1-4

Scoping und Bestandsaufnahme

Alle Orte identifizieren, an denen CHD gespeichert, verarbeitet oder uebertragen wird
Netzwerktopologie abbilden und CDE-Grenzen definieren
Systeme, Anwendungen und Drittanbieterverbindungen inventarisieren
Compliance-Stufe und Bewertungsart bestimmen

Phase 2Wochen 5-10

Lueckenanalyse

Aktuellen Stand gegen alle 12 PCI-DSS-Anforderungen bewerten
Nicht konforme Kontrollen und fehlende Nachweise identifizieren
Behebung nach Risiko und Bewertungszeitplan priorisieren
Behebungsfahrplan mit Verantwortlichkeiten erstellen

Phase 3Wochen 11-20

Behebung und Tests

Fehlende technische Kontrollen implementieren (MFA, Verschluesselung, Protokollierung)
Netzwerksegmentierung und Zugriffskontrollen bereitstellen
Richtliniendokumentation und Bewusstseinstraining abschliessen
Interne Schwachstellen-Scans und Penetrationstests durchfuehren

Phase 4Wochen 21-24

Validierung und Zertifizierung

QSA beauftragen oder SAQ je nach Stufe ausfuellen
Vierteljaehrliche ASV-Netzwerk-Scans durchfuehren
Report on Compliance (ROC) oder SAQ-Einreichung generieren
Attestation of Compliance bei der Acquiring-Bank einreichen

Strafen und Durchsetzung

Nichteinhaltung hat schwerwiegende finanzielle Folgen

Kartenmarken und Acquiring-Banken setzen PCI DSS durch vertragliche Strafen durch. Bussgelder steigen mit der Haendlerstufe und der Dauer der Nichteinhaltung. Datenlecks verursachen zusaetzliche Untersuchungs-, Benachrichtigungs- und Rechtskosten.

Monatliche Bussgelder

5.000 - 100.000 USD/Monat

Von Kartenmarken fuer Nichteinhaltung oder nach einem Datenleck verhaengt. Bussgelder steigen mit der Haendlerstufe und der Dauer der Nichteinhaltung.

Eskalationspfad

Stufe-1-Haendler haben die hoechsten Bussgelder; koennen unbegrenzt 100.000 USD/Monat erreichen, bis Compliance wiederhergestellt ist

Erhoehte Transaktionsgebuehren

0,01 - 0,10 USD pro Transaktion

Acquirer koennen Gebuehrerhoehungen fuer nicht konforme Haendler verhaengen. Bei Tausenden monatlicher Transaktionen entstehen erhebliche Betriebskosten.

Eskalationspfad

Permanente Gebuehrerhoehung bis zur Validierung der Compliance; wirkt sich direkt auf Gewinnmargen aus

Aussetzung der Kartenverarbeitung

Sofortige Kuendigung

Acquiring-Banken koennen den Haendlervertrag kuendigen und die Kartenakzeptanz vollstaendig untersagen. Dies stellt eine existenzielle Bedrohung fuer viele Unternehmen dar.

Eskalationspfad

Wiederaufnahme erfordert vollstaendige Compliance-Validierung und die Suche nach einem neuen Acquirer (schwierig mit Vorgeschichte)

Kosten bei Datenlecks

200 - 500 USD pro kompromittiertem Datensatz

Kosten bei Datenlecks umfassen Forensik, Benachrichtigung, Rechtskosten, Kartenneuausstellung und Betrugsschaeden. Durchschnittliche Gesamtkosten: ueber 4 Mio. USD pro Datenleck.

Eskalationspfad

Sammelklagen, regulatorische Strafen (DSGVO, Landesgesetze), Reputationsschaden, Kundenabwanderung

Compliance-Bewertung starten

Richtlinienvorlagen

Vollstaendiges PCI-DSS-Richtlinien-Repository

Zugriff auf sofort einsetzbare Zahlungssicherheits-Richtlinienvorlagen, abgestimmt auf PCI DSS v4.0, SOC 2 und ISO 27001-Anforderungen

Netzwerksicherheit

• Firewall-Konfigurationsrichtlinie
• Netzwerksegmentierungsrichtlinie
• WLAN-Sicherheitsrichtlinie
• Systemhaertungsstandards
• Konfigurationsmanagement
• Aenderungskontrollrichtlinie
+ 3 weitere Richtlinien

Datenschutz

• Karteninhaberdaten-Richtlinie
• Verschluesselungsstandards
• Schluesselmanagement-Richtlinie
• Datenaufbewahrungsrichtlinie
• Sichere Entsorgungsverfahren
• Tokenisierungsrichtlinien
+ 4 weitere Richtlinien

Zugriff und Ueberwachung

• Zugriffskontrollrichtlinie
• Multi-Faktor-Authentifizierung
• Passwortrichtlinie
• Protokollierungs- und Ueberwachungsrichtlinie
• Incident-Response-Plan
• Schwachstellenmanagement
+ 5 weitere Richtlinien

Alle Richtlinienvorlagen durchsuchen

Haeufig gestellte Fragen

Haeufige Fragen zur PCI-DSS-Compliance

PCI DSS gilt fuer alle Organisationen, die Karteninhaberdaten speichern, verarbeiten oder uebertragen, unabhaengig von Groesse oder Transaktionsvolumen. Dazu gehoeren Haendler, Dienstleister, Zahlungsabwickler und jedes Unternehmen, das Zahlungskartendaten verarbeitet. Die Einhaltung wird durch Vertraege mit Acquiring-Banken und Kartenmarken durchgesetzt. Besuchen Sie die offizielle Seite des PCI Security Standards Council fuer die vollstaendigen Anforderungen.

PCI DSS v4.0 (veroeffentlicht Maerz 2022) fuehrte angepasste Implementierung, erweiterte MFA-Anforderungen, E-Commerce-Skimming-Schutzmassnahmen und dokumentierte Rollen ein. Wesentliche Aenderung: Organisationen koennen nun gezielte Risikoanalysen verwenden, um die Kontrollhaeufigkeit zu definieren. v3.2.1 wurde am 31. Maerz 2024 ausser Kraft gesetzt; alle Unternehmen muessen bis zum 31. Maerz 2025 auf v4.0 sein.

PCI DSS ist zahlungsspezifisch und vertraglich vorgeschrieben, waehrend SOC 2 und ISO 27001 breitere Informationssicherheits-Frameworks sind. Organisationen verfolgen haeufig alle drei: PCI DSS stellt den Schutz von Kartendaten sicher, SOC 2 demonstriert allgemeine Sicherheitskontrollen gegenueber Kunden und ISO 27001 bietet internationale Zertifizierung. Es gibt erhebliche Kontrollueberschneidungen, die gemeinsame Nachweise ermoeglichen.

Die CDE ist der Teil Ihrer IT-Umgebung, der Karteninhaberdaten oder sensible Authentifizierungsdaten speichert, verarbeitet oder uebertraegt. Sie umfasst Personen, Prozesse und Technologien, die mit CHD interagieren. Durch korrektes Scoping zur Minimierung der CDE wird der PCI-DSS-Bewertungsaufwand reduziert. Netzwerksegmentierung isoliert die CDE von anderen Systemen und begrenzt den Compliance-Umfang.

Ein Selbstbewertungsfragebogen (SAQ) ist ein Validierungsinstrument fuer kleinere Haendler (typischerweise Stufe 2-4), um die Compliance selbst zu melden. Ein Report on Compliance (ROC) ist ein detailliertes Bewertungsdokument, das von einem Qualified Security Assessor (QSA) fuer Stufe-1-Haendler oder Organisationen erstellt wird, die externe Validierung waehlen. Der ROC umfasst Nachweispruefung, Interviews und technische Tests. Beide fuehren zu einer Attestation of Compliance (AOC), die bei der Acquiring-Bank eingereicht wird.

Die Erstkonformitaet dauert typischerweise 3-6 Monate, abhaengig von der aktuellen Sicherheitsreife, CDE-Komplexitaet und Haendlerstufe. Stufe-1-Haendler, die erhebliche Nachbesserungen benoetigen, brauchen moeglicherweise 6-12 Monate. Die laufende Compliance ist kontinuierlich: vierteljaehrliche Scans, jaehrliche Bewertungen, Richtlinienueberpruefungen und Nachweispflege. Scoping und Lueckenanalyse (erste 4-6 Wochen) bestimmen den Zeitplan.

Das haengt von Ihrer Integration ab. Wenn Sie eine vollstaendig ausgelagerte Zahlungsloesung verwenden (z.B. gehostete Zahlungsseite, Weiterleitung zum Abwickler), bei der CHD niemals Ihre Systeme beruehrt, qualifizieren Sie sich fuer SAQ A (einfachster Fragebogen). Wenn CHD auch nur voruebergehend durch Ihre Systeme fliesst (z.B. Zahlungsterminal, E-Commerce-Checkout), haben Sie umfassendere Compliance-Verpflichtungen. Tokenisierung und Point-to-Point-Verschluesselung (P2PE) reduzieren den Umfang, eliminieren ihn aber nicht vollstaendig.

Kartenmarken verhaengen Bussgelder von 5.000 bis 100.000 USD pro Monat, abhaengig von Haendlerstufe und Schwere des Verstosses. Acquirer koennen Transaktionsgebuehrerhoehungen (0,01-0,10 USD pro Transaktion) verhaengen oder den Haendlervertrag kuendigen und die Kartenakzeptanz untersagen. Datenlecks verursachen zusaetzlich Forensik-, Benachrichtigungs-, Betrugskosten und potenzielle Klagen. Durchschnittliche Kosten eines Datenlecks: ueber 4 Millionen USD. Strafen dauern an, bis die Compliance validiert ist.

Eine jaehrliche Validierung ist fuer alle Compliance-Stufen erforderlich. Stufe-1-Haendler benoetigen jaehrliche Vor-Ort-Bewertungen (QSA oder interner Auditor mit Unterschrift eines leitenden Angestellten). Stufen 2-4 fuellen jaehrliche SAQs aus. Alle Stufen benoetigen vierteljaehrliche Netzwerk-Scans durch einen Approved Scanning Vendor (ASV). Laufende Compliance-Aktivitaeten umfassen Log-Ueberpruefungen, Schwachstellenmanagement, Zugriffsueberpruefungen und Richtlinienaktualisierungen. Compliance ist kein punktuelles Ereignis.

PCI DSS v4.0 erfordert MFA fuer alle Zugriffe auf die CDE, einschliesslich administrativem Zugriff, Fernzugriff und Konsolenzugriff. MFA muss mindestens zwei unabhaengige Authentifizierungsfaktoren verwenden: etwas, das Sie wissen (Passwort), etwas, das Sie haben (Token, Smartcard) oder etwas, das Sie sind (Biometrie). Phishing-resistente MFA (z.B. FIDO2, PKI) wird empfohlen. Single Sign-On (SSO) allein erfuellt MFA nicht, es sei denn, es wird mit zusaetzlicher Authentifizierung kombiniert.

Cloud-Bereitstellungen muessen alle PCI-DSS-Anforderungen erfuellen. Die Verantwortung haengt vom Servicemodell ab: IaaS (Sie handhaben die meisten Kontrollen), PaaS (geteilte Verantwortung) oder SaaS (Anbieter handhabt Infrastruktur). Cloud-Anbieter koennen PCI-DSS-Attestierungen haben, aber Sie bleiben fuer Ihre Kontrollen verantwortlich (Zugriffsmanagement, Verschluesselung, Protokollierung). Dokumentieren Sie die Verantwortungsmatrix mit dem Cloud-Anbieter. Tokenisierung und Verschluesselungsdienste koennen den Umfang reduzieren.

Ja, VerifyWise bietet dedizierte Module fuer das PCI-DSS-Compliance-Management. Verfolgen Sie Karteninhaberdatenfluesse, dokumentieren Sie CDE-Grenzen, verwalten Sie Richtlinien und generieren Sie Auditnachweise. Unsere Plattform ordnet Kontrollen allen 12 Anforderungen zu und unterstuetzt Lueckenanalysen, Behebungsverfolgung und ASV-Scan-Management. Wir bieten auch Zuordnungen zu SOC 2, ISO 27001 und NIST AI RMF fuer Organisationen, die mehrere Frameworks implementieren.

Bereit fuer PCI-DSS-Compliance?

Starten Sie Ihre Compliance-Reise mit unseren gefuehrten Bewertungs- und Implementierungstools.

Compliance-Bewertung starten Beratung vereinbaren