PCI DSS v4.0: Die neuen Anforderungen

Datensicherheit ist und bleibt ein wichtiges Thema in allen Bereichen, und ganz besonders wenn es um die Zahlungsdaten Ihrer Kunden geht. Daher ist es unabdingbar, dass die PCI-Konformität Ihres Unternehmens immer auf dem aktuellsten Stand ist. Doch zunächst eine kurze Zusammenfassung.

Die Gerüchte sind wahr; es ist tatsächlich eine neue Version des PCI DSS auf dem Weg. Die Version 4.0 sollte eigentlich bereits Mitte 2021 eingeführt werden, aber die Veröffentlichung verzögert sich nun bis Ende des Jahres. In der Zwischenzeit bleibt PCI DSS 3.2.1 der aktuelle PCI-Standard. Im Folgenden erfahren Sie, was das für Sie bedeutet und was Sie über den kommenden PCI DSS 4.0 wissen müssen.

PCI DSS ist eine Reihe von technischen und betrieblichen Anforderungen, die dem Schutz von Kontodaten, der Betrugsbekämpfung und der Verringerung des Risikos von Datenschutzverletzungen dienen. Der 2006 eingeführte PCI DSS wurde vom PCI Security Standards Council (PCI SSC) entwickelt, einem unabhängigen Gremium, das sich aus MasterCard, Visa, American Express, JCB und Discover zusammensetzt. Derzeit umfasst PCI DSS 12 Kernanforderungen.

Jede Organisation, die mit Karteninhaberdaten (Cardholder Data Environment, CDE) interagiert - d. h. Kontodaten sammelt, verarbeitet, speichert oder überträgt - muss den PCI DSS direkt oder durch eine jährliche Bewertung unabhängig oder zusammen mit Ihrem QSA einhalten. Der Standard ist zwar nicht Teil eines Gesetzes, wird aber weltweit angewandt. Die Nichteinhaltung von PCI DSS kann zu Verstößen, Geldstrafen oder der Beendigung von Genehmigungen für die Kreditkartenverarbeitung führen.

Die Version 4.0 von PCI DSS sollte ursprünglich im zweiten Quartal 2021 eingeführt werden, wird aber nun im ersten Quartal 2022 veröffentlicht. Der Grund für die Verzögerung ist nicht dramatisch: Der PCI-Rat hat entschieden, dass mehr Feedback zum neuen Standard und seiner Dokumentation benötigt wird. Daraufhin wurde der Zeitplan aktualisiert, um einen erweiterten Request For Comments (RFC)-Prozess zu unterstützen.

Während die 12 Kernanforderungen des PCI DSS im Wesentlichen gleich bleiben, sollen die anstehenden Änderungen sicherstellen, dass die Kontodaten ordnungsgemäß geschützt werden und Unternehmen sich über ihre Verantwortlichkeiten bei der Umsetzung im Klaren sind.

Technologien entwickeln sich stetig weiter - und damit ändern sich auch die Angriffstaktiken und die Möglichkeiten von Angreifern, die versuchen, Systeme zu kompromittieren. Die Unterschiede zwischen PCI DSS v3.2.1 und v4.0 sollen daher den Standard an die jüngsten Veränderungen in der Sicherheitsbranche anpassen, die Anforderungen auf einige neue Technologiebereiche ausdehnen und den Unternehmen klare Richtlinien an die Hand geben.

Da der vollständige Standard und die unterstützenden Dokumente noch nicht veröffentlicht wurden, wissen wir bisher nur Folgendes: Der PCI Security Standards Council hat vier Ziele festgelegt, an denen sich die Entwicklung der Version 4.0 orientiert. Diese Ziele sind:

Die neue Version des PCI DSS wird eine Erweiterung der Anforderungen für sich stetig weiterentwickelnde Sicherheits- und Technologiebereiche beinhalten, darunter Mobiltelefone und Tablets, kontaktlose Zahlungen, Cloud-Anpassung, neue Vorgehensweisen bei der Softwareentwicklung und die zunehmende Abhängigkeit von Dritten.

Nach der Einführung von PCI DSS v4.0 wird eine verlängerte Übergangszeit für Unternehmen vorgesehen, um von PCI DSS v3.2.1 auf PCI DSS v4.0 umzustellen. Der aktuelle PCI DSS v3.2.1 bleibt für 18 Monate aktiv, sobald alle PCI DSS v4.0-Materialien - der Standard, unterstützende Dokumente (einschließlich SAQs, ROCs und AOCs), Schulungen und Programm-Updates - veröffentlicht sind.

Wir werten regelmäßig alle verfügbaren Informationen aus und werden diejenigen, die von den Änderungen am PCI DSS betroffen sind, rechtzeitig informieren. Dafür wird unser Team auch an dem globalen PCI-Community-Treffen im Oktober 2021 teilnehmen.

Wie immer sind wir jeder Aktualisierung der Compliance-Standards weltweit einen Schritt voraus und arbeiten eng mit allen beteiligten Parteien zusammen, um Ihnen, uns und der Welt sicherere Zahlungen zu bieten.

Der beste Weg, sich auf die Version 4.0 vorzubereiten, besteht darin, die Anforderungen von PCI DSS 3.2.1 einzuhalten bzw. auf die Einhaltung hinzuarbeiten. Wenn Ihr Unternehmen Kreditkarten akzeptiert, müssen Sie die für Ihr Unternehmen geltenden Anforderungen des PCI DSS umsetzen und Ihre Konformität mit dem PCI DSS jährlich validieren.

Für PCI DSS 3.2.1 können Sie Ihre Konformität wie folgt überprüfen:

Weitere Informationen zu diesen Dokumenten finden Sie hier.

Auch wenn sich diese Empfehlungen in den kommenden Monaten noch ändern können, lohnt es sich, schon jetzt erste Grundlagen zu schaffen.

Wir können zwar erst im Laufe des Jahres eine endgültige Checkliste für die Einhaltung von PCI DSS v4.0 vorlegen, aber hier sind einige Best-Practice-Tipps, die Ihnen dabei helfen, alle notwendigen Sicherheitsvorkehrungen zu treffen:

Wenn Sie konform sind und die Kontrolle behalten, sind Sie gut gerüstet, um die Anforderungen von PCI DSS v4.0 zu erfüllen. Denken Sie daran, dass Sie sich jederzeit an uns wenden können, wenn Sie Hilfe benötigen. Wir sind bereit, Sie bei diesem Prozess zu unterstützen.

Die Anforderungen der PCI DSS-Konformität können schwierig zu erfüllen sein, vor allem, wenn Sie nicht über ein bestehendes System zum Schutz von Kontodaten verfügen. Um den Umfang Ihrer PCI DSS-Compliance zu reduzieren, bieten wir Integrationen an, die die meisten PCI DSS-Anforderungen für Sie übernehmen:

•  Unser Web-Drop-in oder Komponenten zeigen die verfügbaren Karten in Ihrem Zahlungsformular an und sammeln sicher alle Kontodaten und sensiblen Karteninformationen, so dass diese nicht auf                Ihrem Server landen.

•  Für eine Point-of-Sale-Integration können Sie unsere standardmäßige End-to-End-Verschlüsselungslösung (E2EE) verwenden.

Sie müssen Ihre Kontodaten zwar immer noch sichern, bevor sie uns erreichen, aber wir sind immer für Sie da, um Sie in die richtige Richtung zu lenken. Schauen Sie also in ein paar Monaten wieder hier vorbei, um das nächste Update zu erhalten, oder wenden Sie sich einfach direkt an uns, wenn Sie in der Zwischenzeit Fragen haben.