PCI DSS 4.0 veröffentlicht: Mehr Sicherheit für Kreditkartendaten

Die neue Version 4.0 von PCI DSS erweitert den De-facto-Standard der Security für Zahlungssysteme. Vor allem sollen die Ziele flexibler umzusetzen sein.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Ein ungeordneter Stapel mit Kreditkarten und Girokarten von verschiedenen Zahlungsdienstleistern wie Mastercard oder Visa.

(Bild: Tatiana_Kuzmina/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • David Fuhr
Inhaltsverzeichnis

Zukünftig werden Kreditkartendaten noch besser geschützt: Am 31. März 2022 wurde nach mehrmaliger Verschiebung aufgrund umfangreicher Kommentierungsrunden und fast vier Jahre nach dem letzten Update die neue Version 4.0 von PCI DSS veröffentlicht.

Seit vielen Jahren gilt der Data Security Standard der Payment Card Industry als sine qua non, wenn es um das sichere Verarbeiten von Kreditkartenzahlungen geht. Geschaffen 2006 vom PCI Security Standards Council (PCI SSC) der großen Kreditkartenanbieter, hat sich PCI, wie die Vorgabe umgangssprachlich manchmal genannt wird, zum De-facto-Standard der Security für Zahlungssysteme entwickelt. Und obwohl keine gesetzlichen Vorgaben sie verpflichtend machen, drohen bei Verstößen empfindliche Strafen für Händler, sofern sie entdeckt werden.

Konformität mit PCI DSS umfasst drei Kernpunkte: sicheres Sammeln und Übertragen von eingehenden Kartendaten, sicheres Speichern den Daten und Sicherheitstests für den Zugriff auf Kartendaten. Nachzuweisen ist dies durch jährliche Assessments, meist durch qualifizierte Drittparteien, sogenannte PCI Quality Security Assessors (QSA), auch wenn Self Assessments grundsätzlich möglich sind.

Seit Mai 2018 war die Version 3.2.1 gültig. Die nun erschienene v4.0 zielt darauf ab, der sich weiterentwickelnden Bedrohungslage Paroli zu bieten, Security als kontinuierlichen Prozess zu fördern und die Flexibilität zu erhöhen, sodass Organisationen ihre jeweiligen Stärken besser nutzen können, um die durch den Standard gesetzten Sicherheitsziele zu erreichen.

Dies wird erreicht durch eine sehr große Menge an Veränderungen im Standard. Einige davon sind grundsätzlicher Natur wie das Zuweisen von Rollen und Verantwortlichkeiten je Anforderung und das Einfügen zusätzlicher Guidance, die beim Verständnis der Security helfen soll.

Doch auch auf der konkreten Ebene finden sich viele Neuerungen und Anpassungen sowie Verschärfungen. So muss etwa die Mehrfaktorauthentifizierung stringenter sein, sprich flächendeckender umzusetzen, sodass weniger Schlupflöcher bestehen. Auch Passwortvorgaben sind nun strenger (12 Zeichen statt 7), und statt erzwungenen Passwortwechsel alle 90 Tage gibt es die Option, den Security-Status von Accounts dynamisch zu überwachen.

Auch neue Gebiete haben einen Eingang gefunden oder mehr Raum bekommen. Durch den Bedeutungsgewinn der Themen wird nun eCommerce und Phishing entschiedener adressiert. Eine der größten Änderungen dürfte jedoch sein, dass Organisationen die Wahl bekommen, selbst festzulegen, mit welchen Mitteln sie die Sicherheitsziele erreichen möchten. Dafür werden dann jeweils eigene Validierungsmechanismen entwickelt. Auch die Frequenz bestimmter Aktivitäten lässt sich jetzt besser steuern, wenn eine eigene Risikoanalyse durchgeführt wird.

Insgesamt erscheint der Standard in der neuen Version frischer, systematischer und stringenter. Organisationen, die von PCI DSS erfasst werden, haben nun grundsätzlich zwei Jahre Zeit, die Anforderungen der Version 4.0 umzusetzen. Bis dahin haben sie die Wahl, weiterhin nach den alten Requirements zu reporten. Für neu hinzugekommene Anforderungen gilt sogar, dass ein weiteres Jahr, bis zum 31.3.2025, Zeit ist, diese umzusetzen.

(fo)