PCI DSS v4.0: Der neue Sicherheitsstandard im Überblick

PCI DSS v4.0 wurde im 1. Quartal 2022 veröffentlicht und bringt erweiterte Anforderungen in wichtigen Sicherheits- und Technologiebereichen mit sich. Dazu gehören unter anderem Mobiltelefone und Tablets, kontaktlose Zahlungen, Cloud-Integration, neue Praktiken der Softwareentwicklung sowie eine verstärkte Abhängigkeit von Dienstleistungen Dritter.

Der neue Standard wird in erster Linie durch vier vom PCI Security Standards Council festgelegte Hauptziele vorangetrieben: 

1. Sicherstellen, dass der Standard auch weiterhin den Sicherheitsanforderungen der Payment-Branche entspricht.

2. Mehr Flexibilität und Unterstützung zusätzlicher Methoden zur Erreichung von Sicherheit.

3. Die Unternehmen sollen ermutigt werden, Sicherheit als einen kontinuierlichen Prozess zu betrachten.

4. Verbesserung der Validierungsmethoden und -verfahren, um sie robuster zu machen.

PCI DSS v4.0 wird v3.2.1 nach dem 31. März 2024 ablösen, mit einer zweijährigen Übergangsfrist. Trotz der umfangreichen Änderungen ist es für Unternehmen wichtig, sich aufgrund der Komplexität der Aktualisierungen lieber früher als später auf die Version 4.0 vorzubereiten. 

PCI DSS v4.0 wird ab dem 31. März 2024 die Version v3.2.1 ablösen, wobei eine zweijährige Übergangsfrist gilt. Angesichts der umfangreichen Änderungen ist es für Unternehmen ratsam, sich lieber früher als später auf die Version 4.0 vorzubereiten.

Obwohl die Integration und Einrichtung für jeden Händler individuelle Anforderungen mit sich bringen kann, werden einige allgemeine Änderungen wahrscheinlich für die meisten E-Commerce-Händler gelten.

Anforderung 6.4.3: Absicherung von Skripten auf Zahlungsseiten

Skripte auf Zahlungsseiten müssen sorgfältig verwaltet werden, um eine böswillige Ausführung zu verhindern. Dies erfordert die Implementierung von Methoden zur Autorisierung und Gewährleistung der Integrität jedes Skripts. Außerdem muss ein Inventar mit Begründungen für die Notwendigkeit der einzelnen Skripte geführt werden.

Anforderung 11.3.2: Regelmäßige externe Schwachstellen-Scans

Unternehmen müssen alle drei Monate externe Schwachstellen-Scans durchführen, die von einem vom PCI SSC zugelassenen Scan-Anbieter durchgeführt werden. Regelmäßige Scans sind unerlässlich, um Schwachstellen in nach außen gerichteten Servern zu identifizieren, zu beheben und sich vor potenziellen Angriffen zu schützen. Während anfangs vier erfolgreiche Scans innerhalb von 12 Monaten nicht erforderlich sind, müssen in den folgenden Jahren mindestens alle drei Monate erfolgreiche Scans durchgeführt werden. Diese Anforderung ist ab sofort gültig. 

Anforderung 11.6.1: Erkennung nicht autorisierter Änderungen

Diese Anforderung schreibt den Einsatz von Systemen zur Erkennung von Änderungen und Manipulationen auf Zahlungsseiten vor. Ziel ist es, Man-in-the-Middle-Angriffe und unerlaubte Änderungen zu verhindern. 

Durch den Vergleich aktueller und bekannter Versionen von HTTP-Headern und Seiteninhalten können Händler verdächtige Änderungen erkennen, die auf Skimming-Angriffe hindeuten könnten. Verstöße gegen die Content Security Policy (CSP), Website-Geschwindigkeitstests und die manipulationssichere Einbettung von Skripten gehören zu den Mechanismen, die helfen, unerlaubte Änderungen zu erkennen. 

Händler müssen diese Maßnahmen implementieren und mindestens wöchentlich durchführen, um die Sicherheit kritischer Webseiten zu gewährleisten.

Um die PCI DSS Compliance aufrechtzuerhalten, müssen Händler proaktive Maßnahmen ergreifen. Es ist von entscheidender Bedeutung, sich mit den Änderungen in PCI DSS v4.0 vertraut zu machen, damit Sie sich auf einen nahtlosen Übergang vorbereiten können. Wir empfehlen regelmäßige Gap-Assessments, um Bereiche mit Verbesserungsbedarf zu identifizieren. Eine frühzeitige Planung ist der Schlüssel, um Lücken zu schließen, bevor eine formale Validierung erforderlich wird. 

Wir bei Adyen sind dank unserer sorgfältigen Bemühungen als eines der ersten Unternehmen der Branche nach dem neuesten Standard zertifiziert worden, was unser Engagement für ein sicheres Payment-Ökosystem unterstreicht.

Sicherheit als kontinuierlicher Prozess priorisieren 

Angesichts der stetig zunehmenden Sicherheitsbedrohungen ist es wichtig, PCI DSS als kontinuierlichen Prozess zu betrachten und nicht nur als jährliche Checkliste. Mit einem PCI Self-Assessment Questionnaire (PCI SAQ) oder einem Report on Compliance (RoC) weisen Händler nach, dass sie Sicherheitsmaßnahmen zum Schutz von Karteninhaberdaten ergreifen und die PCI-Anforderungen erfüllen.

Da die Dokumente nach einem Jahr ab dem Datum der Unterzeichnung verfallen, empfehlen wir einen ganzjährigen Ansatz für PCI DSS. Indem sie der Sicherheit das ganze Jahr über Priorität einräumen, können Unternehmen wiederholte Zyklen kurzfristiger Konformität und anschließende Versäumnisse vermeiden.

Mitarbeiterschulungen sind eine weitere Möglichkeit, Sicherheit als kontinuierlichen Prozess zu betrachten. Dadurch können Mitarbeiter über die Bedeutung von PCI DSS und ihre Rolle bei der Sicherung von Zahlungsdaten aufgeklärt werden. Wenn dies Teil der Unternehmenskultur ist, können Kontrollmängel schnell erkannt, gemeldet und korrigiert werden.

Die Umsetzung der PCI DSS kann entmutigend erscheinen, insbesondere ohne einen etablierten Rahmen für den effektiven Schutz von Kontodaten. Kein Grund zur Sorge! Wir stehen Ihnen mit Rat und Tat zur Seite. 

Für einen tieferen Einblick in die neuen Anforderungen haben wir zwei Ressourcen für Sie bereitgestellt: 

Adyen Leitfaden zur Einhaltung des PCI DSS (Englisch)

Adyen Help (Deutsch)