• Der Payment Card Industry Data Security Standard (PCI DSS) ist seit seiner Einführung im Jahr 2006 das Fundament für den Schutz von Karteninhaberdaten. Mit dem schnell näher rückenden Stichtag am 31. März 2024 hat sich der Standard seit der letzten Version erheblich weiterentwickelt, um den sich verändernden Anforderungen und der zunehmenden Komplexität moderner Cyberbedrohungen gerecht zu werden.

    Einblick in PCI DSS 4.0
    PCI DSS 4.0 stellt die neueste Version des Branchenstandards dar und bringt entscheidende Änderungen bei den Compliance-Anforderungen mit sich. Die neue Version legt besonderen Wert auf:

    • stärkeren Fokus auf Cloud- und Dienstleisterumgebungen

    • erweiterte Anforderungen

    • Betonung eines risikobasierten Ansatzes

    • verstärkter Fokus auf Datenschutz

    • kontinuierliches Monitoring und Testing

    und führt neue technische sowie betriebliche Anforderungen für die Erreichung der Compliance ein.

    Ziele von PCI DSS 4.0
    Die Aktualisierung des Standards verfolgt vier Hauptziele:

    1. Schritt halten mit der sich verändernden Zahlungsindustrie – der Standard muss sich parallel zur Branche weiterentwickeln.

    2. Förderung kontinuierlicher Sicherheit – Sicherheit soll als laufender Prozess verstanden werden, nicht als einmalige Überprüfung.

    3. Mehr Flexibilität bei der Aufrechterhaltung von Zahlungssicherheit – der Standard erkennt unterschiedliche Technologien und Prozesse an und erlaubt mehr individuelle Anpassung.

    4. Verbesserung der Validierungsmethoden – Methoden zur Prüfung der Compliance müssen so robust sein wie die Sicherheitsmassnahmen selbst.

    Wichtige Neuerungen in PCI DSS 4.0

    Einführung des "Customised Approach"
    Die bedeutendste Änderung von PCI DSS 3.2.1 auf 4.0 ist die Einführung des „Customised Approach“. Damit können Unternehmen über die traditionelle „Defined Approach“-Methode hinausgehen, die eine strikte Einhaltung der vorgegebenen technischen Kontrollen erforderte. Der neue Ansatz erlaubt es, individuelle Kontrollen zu definieren, die für das eigene Umfeld am besten geeignet sind. Organisationen können je nach Bedarf den klassischen oder den individuellen Ansatz wählen.

    Aktualisierte und neue Anforderungen
    Neben dem „Customised Approach“ wurden bestehende Anforderungen überarbeitet und neue eingeführt, um aktuellen Bedrohungen besser begegnen zu können. Zu den wichtigsten Änderungen zählen:

    • gestärkte Authentifizierungskontrollen, insbesondere bei Mehr-Faktor-Authentifizierung

    • erhöhte Passwortkomplexität: Mindestlänge von acht auf zwölf Zeichen angehoben

    • neue Richtlinien zur Verwaltung gemeinsamer und generischer Konten

    • klare Zuweisung von Rollen und Verantwortlichkeiten pro Anforderung

    • Authentifizierte Scans

    • Integritätsprüfung von Skripten auf Zahlungsseiten

    • Verschlüsselung sensibler Authentifizierungsdaten (SAD)

    • Verhinderung des Kopierens/Versetzens von PANs bei Remote-Zugriffen

    • Schutzmechanismen gegen Phishing-Angriffe für Mitarbeitende

    • Automatisierte Prüfung von Audit-Logs

    • Erkennung und Verhinderung von versteckten Malware-Kommunikationskanälen

    Die Self-Assessment Questionnaires und das Report on Compliance-Template wurden deutlich detaillierter und sind nun doppelt so umfangreich. Unternehmen müssen sich auf deutlich tiefere Prüfungen einstellen.

    Umsetzungszeitraum von PCI DSS 4.0
    Die Übergangsphase bis zum 31. März 2024 ermöglicht Unternehmen die Migration zur neuen Version, wobei bis dahin auch noch Version 3.2.1 genutzt werden darf. Von den insgesamt 64 neuen Anforderungen gelten 51 als zukunftsorientiert – sie werden aufgrund ihrer Komplexität oder Kosten erst ab dem 31. März 2025 verpflichtend. Bis dahin gelten sie als Best Practices.

    Auswirkungen auf Unternehmen
    Unternehmen, die bereits PCI-zertifiziert sind, sollten die Änderungen in PCI DSS 4.0 sorgfältig prüfen und frühzeitig mit der Umstellung beginnen. Dazu gehört eine enge Abstimmung mit einem Qualified Security Assessor (QSA), insbesondere zur Bewertung des „Customised Approach“ und anderer Neuerungen.


PCI_webpage

Contact Us

Zusammenfassung der Änderungen
Der PCI Security Standards Council hat den Standard umfassend überarbeitet, um dem aktuellen Bedrohungsszenario und technologischen Fortschritten gerecht zu werden. Diese Änderungen betreffen ein breites Spektrum an Anforderungen und wirken sich auf alle Organisationen aus, die mit Kartendaten umgehen.

Sind Sie bereit für Ihre PCI DSS 4.0 Bewertung?
Integrity360 unterstützt Sie bei der Umstellung mit:

  • Schnellen Remote-Workshops (halbtägig), um die Kernänderungen zu verstehen und Ihre Strategie zu planen.

  • Tiefgehenden technischen Gap-Analysen für ein klares Verständnis der neuen Anforderungen.

FAQs

Wie wird sich der Übergang von PCI DSS 3.2.1 zu 4.0 auf kleine und große Unternehmen unterschiedlich auswirken?
Die Auswirkungen hängen stark von der Unternehmensgrösse ab. Größere Unternehmen verfügen in der Regel über mehr Ressourcen und Fachwissen, um die neuen Anforderungen – insbesondere den „Customised Approach“ – umzusetzen. Allerdings können sie bei der Koordination der Änderungen in komplexen Zahlungsumgebungen auf Herausforderungen stossen. Kleinere Unternehmen haben womöglich einfachere Systeme, aber weniger Mittel zur Umsetzung der neuen Anforderungen. Die Flexibilität in PCI DSS 4.0, wie etwa ein gestaffelter Übergang und alternative Ansätze, soll jedoch allen Organisationen helfen, unabhängig von der Grösse, den Übergang erfolgreich zu meistern.

Welche Kosten sind mit der Umsetzung von PCI DSS 4.0 verbunden?
Die Kosten variieren je nach aktuellem Compliance-Status, Komplexität der Zahlungsumgebung und ob der „Customised“ oder „Defined Approach“ gewählt wird. Zu berücksichtigen sind Ausgaben für Technologie-Upgrades, Beraterhonorare, Mitarbeiterschulungen und Prozessanpassungen. Für Unternehmen, die bereits hohe Sicherheitsstandards pflegen, dürften die Kosten moderat ausfallen. Für andere kann die Umstellung kostspielig werden. Ohne konkrete Zahlen des PCI Councils oder detaillierte Fallstudien lassen sich keine allgemeingültigen Schätzungen geben.

Können Organisationen in verschiedenen Bereichen ihrer Zahlungsumgebung sowohl den „Customised“ als auch den „Defined Approach“ verwenden?
Ja. PCI DSS 4.0 erlaubt die kombinierte Anwendung beider Ansätze – sofern alle eingesetzten Massnahmen die Sicherheitsziele des Standards erfüllen oder übertreffen. So können Unternehmen für bestimmte Kontrollen den klassischen Weg nutzen und für andere, bei denen spezifische Lösungen nötig sind, den „Customised Approach“. Diese Flexibilität fördert Innovation und eine passgenaue Umsetzung der Sicherheitsanforderungen.