Christian Horz - stock.adobe.com
PCI DSS 4.0 steht in den Startlöchern: optimal vorbereiten
Unternehmen müssen sich jetzt schon auf die Änderungen vorbereiten, die der neue Payment Card Industry Data Security Standard (PCI DSS 4.0) mit sich bringt. Die Zeit drängt.
Im ersten Quartal 2024 wird die Version 4.0 des Payment Card Industry Data Security Standards (PCI DSS) in Kraft treten. Damit ersetzt er die aktuelle Version 3.2.1 des Kreditkartenstandards, der seit 2018 weltweit für die Sicherheit von Kreditkartentransaktionen sorgen soll.
Die neue Version PCI DSS 4.0 wurde bereits im März 2022 veröffentlicht. Beide Versionen existieren nun nebeneinander bis die Version 3.2.1 am 31. März 2024 offiziell für nicht mehr gültig erklärt wird. Ab dann gilt nur noch die Version 4.0. Die großen Kreditkartenanbieter und alle Firmen, die Kreditkartentransaktionen in ihren Geschäften nutzen, haben aber noch bis März 2025 Zeit, um die Einhaltung der in PCI DSS 4.0 festgelegten neuen Regeln zu belegen. Diese Übergangsperiode soll den beteiligten Firmen und Organisationen genug Zeit geben, um ihre Systeme, Richtlinien und Prozesse zu aktualisieren und um für Compliance mit dem überarbeiteten Standard zu sorgen.
Was ist neu in PCI DSS 4.0?
Der neue PCI-Standard soll mehrere Punkte sicherstellen:
- Mehr Sicherheit verspricht man sich von einer erweiterten Multifaktor-Authentifizierung (MFA), Aktualisierungen der Passwortvorgaben und neuen Anforderungen zur Abwehr von Phishing-Angriffen und Datendiebstählen.
- Dazu kommen aktualisierte Hilfestellungen zum Durchführen von Sicherheitsmaßnahmen sowie zu Prozessen zum Identifizieren von Bereichen, die noch optimiert werden können. Des Weiteren sieht der neue Standard Vorgaben zum Bereitstellen von erweiterten Informationen für Auditoren und andere Prüfer sowie aktualisierte Spezifikationen für Rollen und Verantwortlichkeiten für die überarbeiteten Anforderungen vor.
- Er soll zudem eine Unterstützung für die verschiedenen Möglichkeiten gewähren, mit denen Unternehmen für mehr IT-Sicherheit sorgen können. Dazu gehören etwa Prozesse für Risikoanalysen, mit denen sich auch allgemeine Sicherheitsmaßnahmen verbessern lassen. Ebenfalls enthalten ist eine Unterstützung verschiedener Arten von geteilten Benutzerkonten oder Gruppen-Accounts sowie zusätzliche Möglichkeiten, um moderne und innovative Sicherheitstechniken besser einschätzen zu können.
- PCI DSS 4.0 bringt außerdem Verbesserungen bei Tätigkeiten, mit denen die Einhaltung der Vorgaben belegt werden kann. Dieser Bereich umfasst verschiedene Aktivitäten, mit denen ein Unternehmen seine Compliance belegen kann. Beispiele dafür sind etwa das Erstellen von Reports, Bestätigungen des Erfüllens der Compliance-Vorgaben oder das Bereitstellen und Ausfüllen eines selbst erstellten Compliance-Fragebogens.
- Dazu gehört auch ein erhöhter Fokus auf alle Arten von Cyber-Security-Maßnahmen. Hierzu setzt der neue Standard auf die Verschlüsselung von Daten und eine erhöhte Sicherheit von Netzwerken, um die Daten der Kunden auch während der Übertragung zu schützen.
- Letztlich erfordert PCI DSS 4.0 auch eine intensivierte Frequenz bei der Kontrolle der Sicherheitsmaßnahmen. Damit soll erreicht werden, dass Unternehmen ein Programm zur regelmäßigen Überprüfung ihrer Sicherheitsmaßnahmen einführen. Nur damit lässt sich belegen, dass sie die erhöhten Anforderungen tatsächlich erfüllen.
Aus diesem Grund definiert die Version 4.0 zwölf Kriterien, die umgesetzt werden sollen:
- Einrichten und Prüfen von Sicherheitskontrollen im Netzwerk;
- sicher konfigurieren aller Komponenten des Systems;
- schützen der gespeicherten Account-Daten;
- verschlüsseln der Daten der Kreditkartenbesitzer;
- schützen aller Systeme gegen Malware;
- entwickeln und pflegen von Sicherheitssystemen und -anwendungen;
- beschränken der Zugriffe auf die Daten der Kreditkartenbesitzer auf Personen und Systeme, die sie wirklich benötigen;
- Einsatz eindeutiger Identifikationsmerkmale für alle Anwender mit Zugriff auf das Netzwerk und die darin enthaltenen Systeme;
- beschränken physischer Zugriffe auf die Daten der Kreditkartenbesitzer;
- protokollieren und überwachen aller Zugriffe auf die Netzwerke und Daten der Kreditkartenbesitzer;
- regelmäßiges Testen aller Systeme und Ressourcen auf ihre Sicherheit sowie
- entwickeln, Umsetzen und Pflegen der Sicherheitsrichtlinien und -programme.
Organisationen, die sich an diese Kriterien halten und sie in ihren Systemen und Netzwerken umsetzen, dürfte es erheblich leichter fallen, die erhöhten Anforderungen von PCI DSS 4.0 zu erfüllen.
Wer muss PCI DSS 4.0 umsetzen?
Jedes Unternehmen, jeder Händler und jede Organisation, die mit den Daten von Kreditkartenbesitzern hantiert, muss die Anforderungen des Payment Card Industry Data Security Standards 4.0 bald erfüllen. PCI DSS 4.0 legt zudem fest, wie Daten bei den großen Kreditkartenanbietern wie zum Beispiel Visa und Mastercard verarbeitet werden.
Die neue Spezifikation teilt Organisationen in die folgenden vier Kategorien ein:
- Level 1: Alle Unternehmen, die jährlich sechs Millionen oder mehr Transaktionen in allen Transaktionsarten durchführen.
- Level 2: Unternehmen, die jährlich zwischen einer und sechs Millionen Transaktionen in allen Transaktionsarten durchführen.
- Level 3: Unternehmen, die jährlich zwischen 20.000 und einer Million Transaktionen in allen Transaktionsarten durchführen.
- Level 4: Unternehmen, die jährlich weniger als 20.000 elektronische Transaktionen durchführen und Firmen, die im Jahr weniger als eine Million Transaktionen in allen Transaktionsarten abschließen.
Vorbereiten auf die Compliance mit PCI DSS 4.0
Auch wenn die Umsetzung von PCI DSS 4.0 heute noch nicht vorgeschrieben ist, ist nun die beste Zeit, um sich darauf vorzubereiten und um die Voraussetzungen für eine spätere Compliance zu erfüllen.
Es gibt zehn Schritte, die Unternehmen dafür durchführen sollten:
- Überprüfen und verstehen Sie die aktualisierten Anforderungen in Version 4.0. Identifizieren und verstehen Sie die essenziellen Kriterien, um für Compliance zu sorgen.
- Vergleichen Sie Ihre aktuellen Richtlinien, Prozesse und weiteren sicherheitsrelevanten Aktivitäten mit den Anforderungen der neuen Version.
- Richten Sie ein Team ein, das sich gezielt darum kümmert, Ihre Sicherheitsmaßnahmen auf den aktuellen Stand zu bringen. Dazu gehören insbesondere die Richtlinien, Prozesse, Technologien und Kenntnisse, die Ihre Mitarbeiter benötigen, um für Compliance mit PCI DSS 4.0 zu sorgen.
- Entfernen Sie alle unnötigen Daten von betroffenen Systemen, um Schäden an diesen Daten oder einen Diebstahl zu verhindern. Das gilt ganz besonders für sensible Daten.
- Stellen Sie sicher, dass wichtige Systeme nicht von Angreifern missbraucht werden können.
- Untersuchen Sie den Netzwerkperimeter, um Bedrohungen und Schwachstellen zu identifizieren, die zu Datendiebstählen führen können.
- Behalten Sie die Kontrolle über Ihre Systeme durch kontinuierliches Monitoring und eine Dokumentation aller sicherheitsrelevanten Geschehnisse.
- Überprüfen Sie alle Vorgaben zur Sicherheit der Daten der Kreditkartenbesitzer, um ihren Schutz und ihre Verfügbarkeit zu gewährleisten.
- Stellen Sie sicher, dass die Sicherheitsmaßnahmen für Ihre Daten regelmäßig überprüft und aktualisiert werden. Die Ergebnisse dieser Analysen müssen dokumentiert werden. Die Berichte können dann als Leistungsnachweise genutzt werden, wenn zum Beispiel ein Audit durchgeführt werden muss.
- Informieren Sie Ihre Vorgesetzten regelmäßig über die Aktivitäten des Sicherheitsteams, mit denen die Einhaltung der Compliance aufrechterhalten wird.
PCI DSS 4.0 wird bereits bei der Umsetzung dafür sorgen, dass die Sicherheitsmaßnahmen zum Schutz der Daten der Kreditkartenbesitzer vor zahlreichen potenziellen Gefahren und Risiken weiter verbessert werden können. In der Zwischenzeit sollten Sie sich nach weiteren Informationen zu dem neuen Standard umsehen, die von den Kreditkartenanbietern und Sicherheitsfirmen in Zukunft veröffentlicht werden, um den Übergang zu PCI DSS 4.0 zu erleichtern.