Verstehen von PCI DSS 4.0

Ein umfassender Leitfaden für Händler und Dienstleistungsanbieter

Der Payment Card Industry Data Security Standard (PCI DSS), Version 4.0, stellt eine bedeutende Weiterentwicklung im Bereich der Sicherheit von Zahlungskarten dar. PCI DSS 4.0 wurde zum Schutz von Karteninhaberdaten und zur Gewährleistung sicherer Kartentransaktionen entwickelt und ist für Unternehmen, die mit Kredit-, Debit- oder Charge-Karten bezahlen, verbindlich. Dieser Beitrag befasst sich mit den Feinheiten von PCI DSS 4.0, seiner Anwendbarkeit, den wichtigsten Änderungen gegenüber dem Vorgänger und den Auswirkungen für Händler und Dienstleister.

Wer muss den PCI DSS 4.0 einhalten?

Kaufleute

PCI DSS 4.0 gilt für Händler jeder Größe, einschließlich Online-Händler, Ladengeschäfte und Dienstleister, die Zahlungskarten akzeptieren. Die Händler werden in vier Stufen eingeteilt, die sich nach der Anzahl der jährlich abgewickelten Transaktionen richten:

Stufe 1: Händler mit mehr als sechs Millionen Transaktionen (Discover, MasterCard, Visa), 2,5 Millionen oder mehr Transaktionen (American Express) oder einer Million oder mehr Transaktionen (JCB).

Stufe 2: Händler mit zwischen 1 und 6 Millionen Transaktionen (Discover, MasterCard, Visa), zwischen 50.000 und 2,5 Millionen Transaktionen (American Express) oder weniger als eine Million Transaktionen (JCB).

Stufe 3: Händler mit 20.000 bis zu einer Million E-Commerce-Transaktionen (MasterCard, Visa), bis zu einer Million Transaktionen jeglicher Art (Discover) oder zwischen 10.000 und 50.000 Transaktionen (American Express).

Stufe 4: Händler mit weniger als 20.000 E-Commerce-Transaktionen und bis zu einer Million Gesamttransaktionen (MasterCard, Visa) bzw. weniger als 10.000 Transaktionen (American Express).

Service Provider

Dienstleister, die im Auftrag von Händlern Karteninhaberdaten verarbeiten, speichern oder übermitteln, unterliegen ebenfalls dem PCI DSS 4.0. Dazu gehören Zahlungsabwickler, Hosting-Anbieter, Cloud-Service-Anbieter und andere Unternehmen, die an der Verarbeitung von Zahlungskarten beteiligt sind.

Die wichtigsten Änderungen des PCI DSS 4.0

PCI DSS 4.0 führt mehrere wichtige Aktualisierungen ein, die darauf abzielen, die Sicherheit der Daten von Karteninhabern zu verbessern und die allgemeine Sicherheitslage von Organisationen zu stärken. Hier sind die wichtigsten Unterschiede zu Version 3.0:

1. Erweiterter Anwendungsbereich

In der neuen Version wird der Anwendungsbereich über die traditionellen Karteninhaberdatenumgebungen (CDEs) hinaus auf neue Technologien und Zahlungskanäle ausgeweitet. Sie behandelt:

• Cloud Computing
• Virtualisierung
• Mobile Zahlungsanwendungen

2. Betonung des risikobasierten Ansatzes

PCI DSS 4.0 fördert einen risikobasierten Ansatz für die Sicherheit und fordert die Unternehmen dazu auf:

• Durchführung umfassender Risikobewertungen
• Maßgeschneiderte Sicherheitskontrollen auf der Grundlage identifizierter Risiken
• Prioritäten bei den Sicherheitsmaßnahmen setzen und Ressourcen effektiv zuweisen

3. Strengere Passwortanforderungen

Die neue Version enthält strengere Anforderungen an Passwörter und betont diese:

• Starke, eindeutige Passwörter
• Abraten von gängigen oder leicht zu erratenden Passwörtern
• Nachdrückliche Empfehlung für Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugriffe, die nicht über die Konsole erfolgen

4. Sicherer Lebenszyklus der Softwareentwicklung (SDLC)

PCI DSS 4.0 legt größeren Wert auf sichere Softwareentwicklungspraktiken, einschließlich:

• Implementierung sicherer Kodierungstechniken
• Durchführung regelmäßiger Code-Reviews
• Durchführung von Schwachstellenbewertungen und Penetrationstests während des gesamten Lebenszyklus der Softwareentwicklung

5. Verschlüsselung und Kryptographie

Die neue Version enthält ausführliche Anleitungen zu Verschlüsselung und Kryptographie, wobei der Schwerpunkt auf der Verschlüsselung liegt:

• Verwendung von branchenweit anerkannten Verschlüsselungsstandards
• Moderne kryptografische Algorithmen
• Sichere Verwaltung von Verschlüsselungsschlüsseln und Schutz von kryptografischen Verfahren

6. Sich entwickelnde Bedrohungen und Schwachstellen

PCI DSS 4.0 geht auf die sich entwickelnde Bedrohungslandschaft ein:

• Ermutigung von Unternehmen, sich über die neuesten Sicherheits-Patches auf dem Laufenden zu halten
• Durchführung regelmäßiger Schwachstellen-Scans
• Implementierung von Systemen zur Erkennung und Verhinderung von Eindringlingen

7. Verbesserte Berichterstattung und Dokumentation

Die neue Version führt erweiterte Berichts- und Dokumentationsanforderungen ein, wobei der Schwerpunkt auf den folgenden Punkten liegt

• Führen detaillierter Aufzeichnungen über Sicherheitskontrollen, Risikobewertungen und Sicherheitsvorfälle
• Regelmäßige Überprüfung und Aktualisierung der Dokumentation, um Änderungen im Umfeld zu berücksichtigen

Auswirkungen auf kleinere Unternehmen und Online-Händler

PCI DSS 4.0 führt spezifische Änderungen ein, die besonders für kleinere Unternehmen und Online-Händler relevant sind:

1. Anforderung an die Web Application Firewall (WAF)

Die PCI DSS 4.0-Anforderung 6.4.2 schreibt vor, dass Unternehmen bis zum 25. März 2025 eine Web Application Firewall (WAF) anschaffen und einsetzen müssen.

2. Vereinfachte Compliance für kleinere Händler

Um den Aufwand für die Einhaltung der Vorschriften zu verringern, werden mit PCI DSS 4.0 vereinfachte Anforderungen für kleinere Händler eingeführt. Diese umfassen:

• Vereinfachte Fragebögen zur Selbstbewertung (SAQs)
• Geringerer Dokumentationsaufwand bei geringerem Transaktionsvolumen

3. Verbesserte Unterstützung für den elektronischen Handel

PCI DSS 4.0 trägt dem Wachstum des elektronischen Geschäftsverkehrs Rechnung und bietet erweiterte Leitlinien für Online-Händler, darunter:

• Bewährte Verfahren zur Sicherung von E-Commerce-Plattformen
• Empfehlungen für sichere Zahlungs-Gateways und Integrationen von Drittanbietern

Schlussfolgerung

PCI DSS 4.0 stellt einen bedeutenden Fortschritt in den laufenden Bemühungen zur Sicherung von Zahlungskartentransaktionen und zum Schutz von Karteninhaberdaten dar. Durch die Ausweitung des Geltungsbereichs, die Betonung eines risikobasierten Ansatzes und die Einführung strengerer Sicherheitsanforderungen zielt PCI DSS 4.0 darauf ab, die sich entwickelnde Bedrohungslandschaft zu berücksichtigen und sicherzustellen, dass Organisationen für den Umgang mit neuen Technologien und Zahlungskanälen gut gerüstet sind.

Für Händler und Dienstleister ist die Einhaltung von PCI DSS 4.0 nicht nur eine gesetzliche Vorschrift, sondern auch eine wichtige Komponente, um das Vertrauen der Kunden zu erhalten und sensible Daten zu schützen. Indem sie die wichtigsten Änderungen von PCI DSS 4.0 verstehen und umsetzen, können Unternehmen ihre Sicherheitslage verbessern und zu einem sichereren Zahlungssystem beitragen.