Der Payment Card Industry Data Security Standard (PCI DSS), der im März 2022 einer umfassenden Aktualisierung unterzogen wurde, wurde überarbeitet.

Diese begrenzte Überarbeitung, PCI DSS v4.0.1, spiegelt das Feedback der Gemeinschaft wider und enthält mehrere Korrekturen und Klarstellungen, die dazu gedacht sind, die Benutzerfreundlichkeit und Effizienz des Standards für Organisationen zu verbessern, die Kartendaten und/oder sensible Authentifizierungsdaten verarbeiten, speichern, übertragen oder deren Sicherheit beeinflussen.

Da es schwierig sein kann, den Überblick über die neuesten Änderungen an Compliance-Anforderungen wie dem PCI DSS zu behalten, hat es sich Secureframe zur Aufgabe gemacht, Kunden über alle Änderungen zu informieren, die ihre Umgebung betreffen könnten, und die Secureframe-Plattform auf dem neuesten Stand zu halten.

In Übereinstimmung mit dieser Mission werden wir die im PCI DSS 4.0.1 vorgenommenen Änderungen und deren Bedeutung für Ihre Organisation erläutern.

Was ist PCI DSS v4.0.1?

PCI DSS v4.0.1 ist eine begrenzte Überarbeitung des PCI DSS v4.0, die auf Feedback und Fragen der Interessengruppen eingeht, die seit der Veröffentlichung der Version 4.0 im März 2022 eingegangen sind. Diese Überarbeitung zeigt das anhaltende Bestreben, die Sicherheit von Zahlungsdaten zu fördern und zu verbessern und die allgemeine Annahme konsistenter Datensicherheitsmaßnahmen weltweit zu erleichtern.

Da PCI DSS 4.0.1 eine begrenzte Überarbeitung ist, gibt es keine großen Änderungen, wie z. B. das Hinzufügen oder Entfernen von Anforderungen. Stattdessen enthält diese neueste Version Format- und Typografiefehlerkorrekturen sowie Klarstellungen zu Zweck und Absicht bestimmter Anforderungen und Richtlinien.

Änderungen PCI DSS 4.0.1 auf einen Blick

Alle Änderungen im PCI DSS 4.0.1 fallen in zwei Kategorien:

1. Klarstellung oder Orientierung: Dies bezieht sich auf alle Aktualisierungen von Formulierungen, Erklärungen, Definitionen, zusätzlichen Anleitungen und/oder Anweisungen, die dazu dienen, das Verständnis zu erhöhen oder zusätzliche Informationen oder Anleitungen zu einem bestimmten Thema bereitzustellen. Diese Art der Änderung macht den Großteil der Änderungen in Version 4.0.1 aus.
2. Struktur oder Format: Dies bezieht sich auf jede Umstrukturierung von Inhalten, einschließlich der Kombination, Trennung und Umnummerierung von Anforderungen, um den Inhalt besser auszurichten.

Lassen Sie uns diese Änderungen unten näher betrachten.

Korrektur oder Aktualisierung der Bezeichnung oder Formatierung

PCI DSS 4.0.1 beinhaltet Korrekturen für Tippfehler und andere kleinere Fehler, wie fehlende Überschriften.

Zum Beispiel wurden alle Instanzen der Phrase „beeinträchtigt die Sicherheit des CDE“ in der Version 4.0 geändert in „beeinträchtigt die Sicherheit der Karteninhaberdaten und/oder der sensiblen Authentifizierungsdaten“ in der Version 4.0.1. Zudem wurden die Testprozeduren aktualisiert, um mit der überarbeiteten Formulierung der Anforderungen in der Version 4.0.1 übereinzustimmen.

Das Ziel dieser Korrekturen und geringfügigen Anpassungen ist es, die Lesbarkeit und Effizienz des Standards zu verbessern.

Aktualisierung der Anhänge und Entfernung von Vorlagen

Es gab auch mehrere Änderungen bezüglich des Glossars oder des Anhangs G. Erstens wurden alle Definitionen, die in den Hinweisen und auch im Glossar enthalten waren, in der Version 4.0.1 entfernt. Die Hinweise verweisen jetzt auf das Glossar.

Auch in der Version 4.0.1 gibt es zusätzliche Verweise auf das Glossar für neu definierte Begriffe (wie „rechtliche Ausnahme“ und „Besucher“) sowie für bestehende Begriffe, die zuvor keine Verweise hatten.

Die andere wesentliche Änderung betrifft den Anhang E. In der Version 4.0.1 wurden die Vorlagen für den benutzerdefinierten Ansatz entfernt und im Anhang wird darauf hingewiesen, dass die Vorlagen auf der Website des PCI SSC verfügbar sind.

Hinzufügen oder Klärung der Anwendbarkeitshinweise

Insbesondere enthält PCI DSS 4.0.1 aktualisierte und klärende Hinweise für mehrere Anforderungen, insbesondere in Bezug auf Anwendbarkeitshinweise. Nachfolgend geben wir einen Überblick über die wichtigsten Änderungen der Anwendbarkeit:

Anforderung 3: Schutz gespeicherter Kontodaten

Wer ist betroffen: Herausgeber und Unternehmen, die Ausgabe-Dienstleistungen unterstützen

Anforderung 3.3.1 besagt, dass sensible Authentifizierungsdaten (SAD) nach der Autorisierung nicht gespeichert werden dürfen, auch nicht verschlüsselt, und Anforderung 3.3.2 besagt, dass vor der Autorisierung gespeicherte SAD mit robuster Kryptographie verschlüsselt werden. In PCI DSS 4.0 war nicht klar, ob Herausgeber und Unternehmen, die Ausgabe-Dienstleistungen unterstützen, diese Anforderungen erfüllen mussten.

PCI DSS 4.0.1 stellt klar, dass die Anforderungen 3.3.1 und 3.3.2 nicht für Herausgeber und Unternehmen, die Ausgabe-Dienstleistungen unterstützen, gelten, wenn sie einen „rechtmäßigen und dokumentierten Geschäftszweck“ haben, die SAD zu speichern.

Darüber hinaus stellt Version 4.0.1 klar, dass für Organisationen, die kryptographische Schlüssel-Hashes verwenden, um die Hauptkontonummern (PAN) unlesbar zu machen, um Anforderung 3.5.1 zu erfüllen, diese Anforderung für PAN gilt, die sowohl im primären Speicher (wie Datenbanken) als auch im sekundären Speicher (wie Prüfprotokollen) gespeichert sind.

Anforderung 6: Entwicklung und Wartung von sicheren Systemen und Software

Wer ist betroffen: Organisationen mit kritischen und hochriskanten Schwachstellen

In PCI 4.0 besagt Anforderung 6.3.3, dass Patches/Updates für kritische und hochriskante Schwachstellen innerhalb eines Monats nach ihrer Veröffentlichung installiert werden müssen. Version 4.0.1 kehrte zur Sprache von PCI DSS v3.2.1 zurück, die besagt, dass die Notwendigkeit, Patches/Updates innerhalb von 30 Tagen zu installieren, nur für kritische Schwachstellen gilt, nicht für hochriskante.

Wer ist betroffen: Organisationen, die einen Drittanbieterdienst für Zahlungen weiterleiten oder integrieren.

Anforderung 6.4.3 beschreibt, wie Zahlungsscripts auf Seiten, die im Browser des Verbrauchers geladen und ausgeführt werden, verwaltet werden. In PCI DSS 4.0 war es unklar, ob dies für Händler galt, die Zahlungsseiten/-formulare von Drittanbieterdienstleistern (TPSP) oder Zahlungsprozessoren integrieren. Version 4.0.1 stellt klar, dass dies für diese Händler gilt, die Verantwortung für die Einhaltung der Scripts jedoch zwischen dem Händler und dem TPSP geteilt wird, sodass der Händler die Scripts und Header außerhalb des eingebetteten Iframes des TPSP besitzt und der TPSP diejenigen innerhalb des eingebetteten Iframes.

Anforderung 8: Benutzer identifizieren und den Zugang zu Systemkomponenten authentifizieren.

Wer ist betroffen: Organisationen mit Benutzerkonten, die nur mit phishingsicheren Authentifizierungsfaktoren authentifiziert werden.

Anforderung 8.4.3 besagt, dass MFA für alle nicht-console Zugriffe auf das CDE implementiert wird. Version 4.0.1 von PCI DSS hat eine Ausnahme hinzugefügt, die besagt, dass diese Anforderung nicht für Benutzerkonten gilt, die nur mit phishingsicheren Authentifizierungsfaktoren authentifiziert werden.

Anforderung 12: Informationssicherheit mit organisatorischen Richtlinien und Programmen unterstützen.

Wer ist betroffen: Organisationen, die Drittanbieterdienstleister (TPSP) beauftragen, um Kontodaten zu speichern, zu verarbeiten oder zu übertragen oder um Systemkomponenten im Umfang in ihrem Namen zu verwalten, sowie die TPSP selbst.

Organisationen können Drittanbieterdienstleister beauftragen, um Kontodaten zu speichern, zu verarbeiten oder zu übertragen oder um Systemkomponenten im Umfang in ihrem Namen zu verwalten. Anforderung 12.8 befasst sich mit der Verwaltung dieser TPSP-Beziehungen und Anforderung 12.9 befasst sich damit, wie die TPSP die PCI DSS-Konformität ihrer Kunden unterstützen.

Version 4.0.1 von PCI DSS klärt mehrere Punkte in Bezug auf die Beziehungen zwischen Kunden und Drittanbieterdienstleistern (TPSP).

Beispielsweise klärt Version 4.0.1 von PCI DSS, dass gemäß Anforderung 12.9.2 alle TPSP verpflichtet sind, die Anforderungen ihrer Kunden hinsichtlich Informationen über den PCI DSS-Konformitätsstatus des TPSP in Bezug auf die den Kunden bereitgestellten Dienstleistungen zu unterstützen. Darüber hinaus müssen TPSP, die Dienstleistungen erbringen, die den PCI DSS-Anforderungen der Kunden entsprechen oder die die Sicherheit der Kontodaten der Kunden beeinflussen können, ebenfalls die Anforderungen ihrer Kunden unterstützen, die sich auf PCI DSS-Anforderungen beziehen, die in die Verantwortung des TPSP fallen, in die Verantwortung des Kunden und jegliche geteilten Verantwortlichkeiten zwischen dem Kunden und dem TPSP.

Wann tritt Version 4.0.1 von PCI DSS in Kraft?

Version 4.0.1 von PCI DSS wurde am 11. Juni 2024 veröffentlicht und ist ab sofort gültig. Bis zum 31. Dezember 2024 bleibt die vorherige Version von PCI DSS—v4.0—ebenfalls aktiv, um den Organisationen Zeit zu geben, die neueste Version des Standards zu übernehmen.
Nach dem 31. Dezember 2024 wird Version 4.0 von PCI DSS zurückgezogen und Version 4.0.1 wird die einzige aktive Version des Standards.

Wie Secureframe Ihnen helfen kann, die Version 4.0.1 von PCI DSS einzuhalten

Egal, ob Sie bereits PCI-zertifiziert sind oder die PCI-Zertifizierung zum ersten Mal anstreben, Sie müssen die folgenden Schritte unternehmen, um mit dem Übergang zu Version 4.0.1 von PCI DSS zu beginnen.
Zunächst konsultieren Sie die Zusammenfassung der Änderungen von Version 4.0 zu Version 4.0.1 von PCI DSS, die ab sofort in der PCI SSC Document Library verfügbar ist, für einen detaillierten Vergleich.

Wenn Sie Kunde von Secureframe sind, können Sie Ihren Compliance-Manager kontaktieren, um eine ausführliche Diskussion über Ihre aktuelle Umgebung und Ihren Geltungsbereich zu führen, um genau zu bestimmen, welche Kontrollen für Sie gelten und wie Sie diese in Ihrer Umgebung implementieren können, um den Änderungen von Version 4.0.1 zu entsprechen.

Sie können dann die Secureframe-Plattform verwenden, um Aufgaben, Kontrollen und Überprüfungen Verantwortlichen zuzuweisen, die Fertigstellung von Sicherheitsbewusstseinsschulungen und die Annahme von Richtlinien zu verwalten, andere Vorbereitungsarbeiten abzuschließen und automatisierte Tests mit Unterstützung unserer Compliance-Manager zu beheben. Die Compliance-Manager von Secureframe können auch eine Lückenanalyse mit Ihnen durchführen, bevor Ihr Audit stattfindet, damit Sie sich sicher sein können, dass Sie PCI DSS v4.0.1 konform sind, bevor Ihr Prüfer die eigentliche Bewertung durchführt.

Schließlich können Sie einen unserer Partner-QSAs auswählen, um die Feldarbeit direkt auf der Plattform durchzuführen.

Für weitere Informationen darüber, wie Sie bis zum 31. Dezember 2024 konform mit PCI DSS v4.0.1 werden können, vereinbaren Sie noch heute eine Demo mit einem unserer Produktexperten.