Nachweise im PCI DSS-Audit

Unser Oktober-Blog-Eintrag zu PCI DSS v4.0

Nachweise im PCI DSS-Audit

In dieser Folge unsere PCI DSS v4.0‑Blogs erläutern wir, welche Pflichten Auditoren beim Nachweis ihrer Audit-Ergeb­nisse haben, und wie Sie am besten die Erbringung angemes­sener Nachweise für PCI DSS v4.0‑Audits vorbereiten.

Audit­prozess

Im Laufe eines PCI DSS-Assess­ments (oder, wie wir im Deutschen häufig sagen, ‑Audits) prüfen Auditoren, inwieweit die PCI DSS-Anfor­de­rungen bei einem Unter­nehmen umgesetzt sind.

Üblicher­weise beinhaltet ein Audit­prozess die folgenden Prüfschritte:

  • Review von Dokumenten,
  • Review von System­kom­po­nenten/-einstel­lungen,
  • Review von Prozessen,
  • Review von physi­schen Gegeben­heiten, 
  • Review von Protokollen/Ergebnissen, und
  • Inter­views mit Personal.

Dies ändert sich auch nicht mit der Migration auf PCI DSS v4.0.

Nachweis­pflichten

Welche Notizen eine Auditorin sich macht und welche Nachweise sie wie ablegt, bleibt für die auditierte Firma norma­ler­weise im Verbor­genen. Wir geben Ihnen hier einen kleinen Einblick, was sich dort mit PCI DSS v4.0 verändert.

Das PCI SSC hat mit dem neuen Reporting Template für PCI DSS v4.0 sowie mit einem Update des PCI DSS Program Guide für QSAs jetzt klarge­stellt, dass sie für jeden Prüfschritt fordern, dass der Auditor einen entspre­chenden Nachweis abgelegt. Die prüft das PCI SSC auch stich­pro­ben­artig bei den Auditfirmen.

Für Dokumente ist dies einfach: der Nachweis ist das jeweilige Dokumente selbst. Ähnlich ist es bei Protokollen/Ergebnissen – hier muss nur darauf geachtet werden, dass klar ist, um welches System oder welchen Prozess es hier geht.

 Falls Sie einem Auditor einen Screenshot oder eine Datei als Nachweis schicken, achten Sie daher bitte darauf, die Infor­mation mitzu­liefern, um welche System­kom­po­nente und/oder welche Prozess es geht.

Beim Review von System­kom­po­nenten/-einstel­lungen ist es notwendig, dass der Auditor sich dedizierte Notizen zu dem jewei­ligen System und der jewei­ligen Einstellung macht.

Beim Review von Prozessen oder physi­schen Gegeben­heiten muss die jeweilige Gegebenheit detail­liert beschrieben werden, und es muss darge­stellt werden, welche Schlüsse die Auditorin aus der Beobachtung zieht. In ähnlicher Form wird auch bei einem Interview erwartet, dass die Auditorin grob die Fragen und Antworten mitschreibt.

Geben Sie bitte dem Auditor im Audit genügend Zeit, sich entspre­chende Notizen zu machen. An vielen Stellen kann es die Schreib­arbeit verkürzen, wenn der Auditor Kopien oder Screen­shots bereit­ge­stellt bekommt oder Fotos machen darf.

Der PCI DSS v4.0 listet etwa 250 Unter­punkte zu den 12 Haupt-Anfor­de­rungen auf – entspre­chend viele Nachweise benötigt der Auditor.

Aufbe­wah­rungs­pflichten

Der PCI DSS Program Guide schreibt vor, dass alle oben genannten Nachweise von der Audit­firma für mindestens drei Jahre sicher aufbe­wahrt werden müssen und auf Anfrage dem PCI SSC und den zugehö­rigen Gesell­schaften verfügbar gemacht werden müssen.

Aus Daten­schutz- oder Vertrau­lich­keits­gründen kommt es vor, dass Unter­nehmen es für einzelne Nachweise nicht erlauben, dass die Auditorin sie mitnehmen und ablegen darf. In diesem Fall regelt das PCI SSC, dass die Ablage statt­dessen bei dem auditierten Unter­nehmen erfolgen darf. Die Anfor­de­rungen an Aufbe­wah­rungs­frist und Verfüg­barkeit sind in diesem Fall die gleichen.

Da die Nachweis­pflichten mit PCI DSS v4.0 größer geworden sind, wird auch dieser Fall in Zukunft häufiger vorkommen.

Wenn Sie erwarten, dass nicht alle Nachweise an den Auditor weiter­ge­geben werden dürfen, bereiten Sie sich als auditiertes Unter­nehmen am besten vor, indem Sie

  • eine revisi­ons­si­chere Aufbe­wahrung der Nachweise für mindestens drei Jahre vorbereiten,
  • während des Audits eine Liste der nicht ausge­hän­digten Dokumente und Nachweise führen,
  • eine schrift­liche Beschei­nigung für den Auditor vorbe­reiten, in der Sie 
    • den Aufbe­wah­rungsort benennen,
    • den Ansprech­partner benennen, an den das PCI SSC sich wenden kann, wenn es Nachweise einsehen möchte, und
    • eine revisi­ons­si­chere Aufbe­wahrung bis zu einem konkret benannten Datum, welches mindestens drei Jahre in der Zukunft liegt, bestätigen.

Umgang mit Abweichungen

Wie sieht es mit den Nachweisen aus, wenn im Audit nicht sofort die Erfüllung aller Anfor­de­rungen nachge­wiesen werden konnte, sondern Abwei­chungen festge­stellt wurden?

Geplante Abwei­chungen

Der einfachste Fall ist es, wenn Sie als auditiertes Unter­nehmen bereits vorab erkannt haben, dass Sie eine Anfor­derung nicht erfüllen können oder nicht auf dem vorge­ge­benen Weg erfüllen möchten. In diesem Fall haben Sie zum Audit bereits eine Dokumen­tation einer Compen­sating Control oder eines Custo­mized Approaches vorbe­reitet. Hierbei kann Ihnen auch ein PCI DSS-Experte helfen – es darf nur nicht der gleiche sein, der die Umsetzung dann auch prüft.

 Zum Custo­mized Approach werden wir in einer späteren Folge unseres PCI DSS v4.0‑Blogs noch ausführlich Stellung nehmen.

In beiden Fällen wird die Auditorin die Nachweise der Compen­sating Control oder des Custo­mized Approaches Ihres Unter­nehmens prüfen, ggf. Rückfragen stellen, und dann geeignete Prüfme­thoden ableiten und durch­führen. Die Pflichten zum Erheben von Nachweisen ergeben sich dabei aus der jewei­ligen Prüfmethode.

Ungeplante Abwei­chungen – „INFI“

Treten während eines Audit­zeit­raums ungeplante Abwei­chungen von den PCI DSS-Anfor­de­rungen auf, müssen diese behoben werden und die Behebung durch den Auditor verifi­ziert werden. Dies war bereits unter PCI DSS v3.2.1 so.

Der PCI DSS v4.0 verlangt zusätzlich explizit, dass der Grund für das Auftreten der Abwei­chung identi­fi­ziert wird, und dass Prozesse imple­men­tiert sind, die ein erneutes Auftreten solch einer Abwei­chung verhindern. Nur in dem Fall kann der Auditor die Anfor­derung noch als erfüllt ansehen.

Im neuen „Items Noted For Impro­vement” (INFI)-Dokument müssen bei jedem PCI DSS v4.0‑Audit alle Abwei­chungen, ihre Gründe, die korrek­tiven und präven­tiven Maßnahmen dokumen­tiert werden.

Die Auditorin stellt dem auditierten Unter­nehmen zum Abschluss des Audits das INFI-Dokument zur Verfügung, und beide Parteien unter­schreiben es. Das INFI-Dokument belegt, dass das auditierte Unter­nehmen die Abwei­chungen erfolg­reich bewältigt hat. Das Dokument kann im auditierten Unter­nehmen intern verwendet werden – bspw. in Compliance- und Risiko-Abtei­lungen – und auf dessen Wunsch auch mit Dritten geteilt werden. Eine Verpflichtung zur Vorlage des INFI-Dokuments gibt es nicht, und es wird auch nicht in der Attestation of Compliance (AoC) referenziert.

 Gerade bei regel­mäßig zu wieder­ho­lenden Prozessen kommt es immer mal wieder dazu, dass sich eine Durch­führung verspätet, z.B. bei der Durch­führung von 

  • Security-Awareness-Trainings,
  • der Inspektion von Zahlgeräten,
  • Schwach­stel­len­scans, oder
  • dem Einspielen von Patches.

Überlegen Sie sich am besten bereits im Vorfeld, wie Sie Ihre Prozesse so gestalten, dass Sie die vorge­schrie­benen Zeiträume einhalten und Verspä­tungen sofort bemerken.

Bei Fragen unter­stützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.

PCI DSS v4.0

Unser September-Blog-Eintrag zu PCI DSS v4.0

Timeline für die PCI DSS v4.0‑Migration – Was sind die nächsten Schritte?

Mit dem 31.03.2024 rückt das Ende von PCI DSS v3.2.1 näher. Alle Händler, die Zahlungen mit Karten der inter­na­tio­nalen Zahlungs­marken Visa, Mastercard, American Express, Discover, JCB oder UnionPay akzep­tieren, und alle Dienst­leister, die sie dabei unter­stützen, sollten auf PCI DSS v4.0 vorbe­reitet sein.

Aber was sollte man konkret wann tun?

Gap-Analyse

Am Anfang sollte eine Gap-Analyse stehen. Wer bisher noch nicht überprüft hat, welche neuen Anfor­de­rungen mit PCI DSS v4.0 auf ihn zukommen, sollte dies so schnell wie möglich nachholen! Die Gründe liegen auf der Hand:

  • Die Umsetzung neuer Anfor­de­rungen wird Zeit und Ressourcen benötigen.
  • PCI DSS-Fachleute, die bei der Umsetzung beraten können, sind bereits gut gebucht.

Bei der Gap-Analyse müssen die neuen Anfor­de­rungen gelesen und verstanden werden und mit der bestehenden Maßnahmen-Landschaft abgeglichen werden. Für das Verständnis der Anfor­de­rungen ist es extrem hilfreich, nicht nur die Anfor­derung an sich zu lesen, sondern auch die umfang­reichen Hilfe­stel­lungen, die das PCI SSC jeder Anfor­derung im Standard zur Seite gestellt hat:

  • Die „Guidance“-Spalte (rechts von der Anforderung),
  • die mit der Anfor­derung verfolgte Zielsetzung (unterhalb der Anforderung),
  • und, sofern vorhanden, die Hinweise zur Anwend­barkeit (unterhalb der Anforderung).

Auch die einlei­tenden Kapitel des PCI DSS v4.0 und das Glossar im Anhang G können bei Fragen zu Begriff­lich­keiten und Anwend­barkeit unterstützen.

Wenn Sie bereits mit einem PCI DSS-Experten zusam­men­ar­beiten, greifen Sie gerne schon in diesem Schritt auf dessen Expertise und Erfahrung zurück.

Priori­sierung

Wenn alle offenen Punkte identi­fi­ziert wurden, sollten ihnen Zeiträume und Verant­wort­lich­keiten zugewiesen werden.
Bei der Zuweisung der Zeiträume sollte das Folgende beachtet werden:

  1. Wie lange wird die Umsetzung voraus­sichtlich dauern?
    Die Imple­men­tierung neuer techni­scher Lösungen dauert aufgrund interner Abhän­gig­keiten häufig lang. Oft kommt dies zusammen mit geringen Perso­nal­res­sourcen. Themen, bei denen absehbar ist, dass ihre Umsetzung lange dauern wird, müssen früher angegangen werden als welche, die voraus­sichtlich schnell erledigt sind.
  2. Werden gezielte Risiko­ana­lysen verlangt?
    In v4.0 ist die Häufigkeit der Durch­führung für viele regel­mäßige Aufgaben nicht mehr fest vorge­schrieben, sondern soll durch eine gezielte Risiko­analyse bestimmt werden. Die Durch­führung solcher gezielten Risiko­ana­lysen muss intern abgestimmt werden und erfordert entspre­chend Zeit.
  3. Gibt es Zeiträume, die sich besonders gut oder schlecht für die Umsetzung eignen?
    Für die Änderung von Richt­linien kann es z.B. sinnvoll sein, Dokumenten-Review-Zyklen zu berück­sich­tigen. Bei techni­schen Änderungen ergibt es Sinn, eventuelle Freeze-Perioden oder bereits geplante Release-Zeiträume zu berücksichtigen.
  4. Ist die PCI DSS v4.0‑Deadline für diese Anfor­derung 2024 oder 2025?
    Bei vielen grund­legend neuen Anfor­de­rungen im PCI DSS v4.0 ist in den Hinweisen zur Anwend­barkeit vermerkt, dass die Anfor­derung bis zum 31.03.2025 als Best Practice angesehen wird und erst danach verpflichtend ist.
    Anfor­de­rungen ohne diesen Hinweis müssen bis zum 31.03.2024 umgesetzt sein und sollten daher ggf. höher priori­siert werden.

Entschei­dungen

Für manche neuen Anfor­de­rungen gibt es verschiedene Möglich­keiten, sie umzusetzen.
Beispiele dafür sind:

  • Anfor­derung 3.4.2 fordert die Verhin­derung von Kopieren/Verschieben von PAN bei remote-Zugriffen (außer für Personal mit entspre­chendem Business Need). Auch hierfür kann es mehrere Wege geben – z.B. über eine Einstellung in RDP bei Nutzung der Remote-Verbindung, oder indem man bei PAN-Anzeigen auf entspre­chenden Webseiten Markie­ren/­Ko­pie­ren/Maus-Rechts­klicks verhindert.
  • Anfor­derung 8.4.2 fordert die Erzwingung von Multi-Faktor-Authen­ti­fi­zierung (MFA) bei Zugriffen in die Cardholder Data Environment (CDE). Je nachdem, wie die Zugriffe in Richtung CDE statt­finden, kann es sinnvoll sein, die MFA auf Netzwer­kebene zu erzwingen, oder auf System­ebene, oder auf Anwen­dungs­ebene. Diese Entscheidung muss unter Einbe­ziehung der verschie­denen Verant­wort­lichen gut abgewogen werden. Gegebe­nen­falls müssen hier sogar mehrere Parteien zusammenarbeiten.

Wägen Sie frühzeitig ab, welche Auswir­kungen welcher Weg für Sie hat!

Nachver­folgung und Bewertung

Wenn Sie Ihre Aufgaben zeitlich priori­siert haben und sich für Umset­zungswege entschieden haben: lehnen Sie sich bitte nicht zurück! Die Person oder das Team, welches für die Aufrecht­erhaltung der PCI DSS-Konfor­mität verant­wortlich ist, sollte mit den Teams, die für die Umsetzung verant­wortlich sind, in Kontakt bleiben.

  • Gibt es Rückfragen/Verständnisfragen?
  • Gibt es Probleme bei der Umsetzung?
  • Ist die Einhaltung des verein­barten Zieltermins gefährdet?

Technische SicherheitseinrichtungenSobald eine Aufgabe umgesetzt ist, sollte geprüft werden, ob die Lösung der entspre­chenden PCI DSS-Anfor­derung standhält. Wenn gewünscht, können auch für solche kleinen Zwischen-Assess­ments externe PCI DSS-Experten hinzu­ge­zogen werden, um auf der sicheren Seite für das nächste offizielle Assessment zu sein.

Konti­nu­ier­licher Prozess

Wenn eine Anfor­derung einmal erfüllt ist, ist nicht gewähr­leistet, dass dies so bleibt. Karten­da­ten­nutzung, Techno­logien und Angriffs­vek­toren ändern sich. Bereits heute beinhaltet der PCI DSS v3.2.1 regel­mäßige Aufgaben zur Aufrecht­erhaltung der PCI DSS-Konfor­mität. Mit dem PCI DSS v4.0 entwi­ckelt sich dies immer mehr zu einem konti­nu­ier­lichen Prozess.

Gewöhnen Sie sich daher bereits jetzt daran, Ihre Maßnahmen immer wieder auf den Prüfstand zu stellen, und die (in Kapitel 7 des PCI DSS jetzt genau definierten) Zeiträume für wieder­keh­rende Tätig­keiten einzu­halten. So wird Ihnen auch die Einhaltung neuer entspre­chender Anfor­de­rungen leichter gelingen, wie bspw.

  • 2.4 / 7.2.5.1 Review von Benut­zer­konten und zugeord­neten Zugriffsrechten,
  • 3 Review von Risiko­ein­schät­zungen und Review der Angemes­senheit und Sicherheit von verwen­deten krypto­gra­fi­schen Algorithmen, Hardware- und Software-Technologien,
  • 5 Validierung des PCI DSS-Anwen­dungs­be­reichs und
  • 6.2 Review des Security Awareness-Programms.

Aber vor allem: Anfangen!

Dies ist der wichtigste Schritt. Wenn Sie noch nicht angefangen haben, ist heute der beste Tag, dies zu tun.
Stellen Sie ein Team zusammen und planen Sie Zeit ein.

Bei Fragen unter­stützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.

PCI DSS v4.0 rückt näher – wir unter­stützen Sie bei der Vorbereitung

Der PCI DSS ist ein ausge­reifter Standard, der Anfor­de­rungen an die sichere Verar­beitung von Karten­daten der inter­na­tio­nalen Zahlungs­systeme definiert.

Die Version 3 des PCI DSS, die – mit verschie­denen Updates – seit 2014 gültig ist, läuft Ende März 2024 endgültig aus und wird durch die neue Version 4.0 ersetzt.

Wir gehen mit Ihnen die letzten Schritte zur Migration auf PCI DSS v4.0.

Nutzen Sie gerne unsere Angebote:

 1. Monat­liche Blog-Artikel, in denen jeweils ein Thema des PCI DSS v4.0 genauer beleuchtet wird.

2. Kostenlose Webinare, welche die Änderungen von PCI DSS v3.2.1 auf v4.0 noch einmal für Sie zusammenfassen.

Sobald die genauen Termine feststehen und die Anmeldung freige­schaltet ist, finden Sie die entspre­chenden Links hier:

  • Webinar zum vollen PCI DSS-Anwen­dungs­be­reich
  • Webinar für Card-Present-Händler mit Anwen­dungs­be­reich SAQ B‑IP oder P2PE
  • Webinar für E‑Com­merce-Händler mit Anwen­dungs­be­reich SAQ A

Sie finden unsere aktuellen Webinar-Termine hier in der Übersicht.

3. Auf Sie zugeschnittene PCI DSS v4.0‑Workshops, in dem wir die für Sie relevanten Anfor­de­rungen gezielt vorstellen und diskutieren.

4. Eine Gap-Analyse für Ihre Umgebungen und Prozesse. Sie erhalten eine Liste aller in Ihrem Unter­nehmen noch offenen Punkte für die PCI DSS v4.0‑Konformität.

5. Beratungs­pakete nach Wahl, von denen Sie jederzeit Kontin­gente abrufen können, wenn Sie konkrete Rückfragen haben – per Telefon, E‑Mail, Webkon­ferenz, oder in Meetings vor Ort.

Kontakt: Frau Jana Ehlers per E‑Mail

8‑stellige BINs und PCI DSS

Am 1. April 2022 werden die Karten­or­ga­ni­sa­tionen Visa und Mastercard die BIN (Bank Identi­fi­cation Number) ihrer Karten weltweit von 6 auf 8 Stellen ausdehnen. Von einer 16-stelligen Kredit­kar­ten­nummer (Primary Account Number, PAN) dienen dann in Zukunft die ersten 8 Stellen zur Identi­fi­kation des Karten­her­aus­gebers. Die BIN wird an vielen Stellen genutzt, wo die Verwendung der vollstän­digen PAN nicht nötig ist – z.B. für das Routing von Trans­ak­tionen oder für Reportings.

BINs und PCI DSS 

Überall dort, wo eine vollständige PAN genutzt wird, müssen die Systeme, Umgebungen, Prozesse und Personen die Anfor­de­rungen des Daten­si­cher­heits­stan­dards PCI DSS (Payment Card Industry Data Security Standard) erfüllen. So sinnvoll der Schutz der PAN durch den PCI DSS ist – für die BIN ist er nicht notwendig.

Im PCI DSS ist daher beschrieben, unter welchen Bedin­gungen für Teile der PAN nicht der gleiche Schutz wie für die volle PAN notwendig ist. Wird nicht die volle PAN gespei­chert, verar­beitet oder übertragen, sondern nur einige Stellen davon, spricht man im PCI DSS von „Trunkierung“. Ist zwar die volle PAN im Hinter­grund gespei­chert, aber in einer Appli­kation werden nicht alle Stellen angezeigt, spricht man im PCI DSS bei der Anzeige von „Maskierung“. Im Alltag wird für beide unter­schied­lichen Maßnahmen auch der Begriff „ausgeixt“ verwendet; aus Sicht des PCI DSS muss man diese aber unterscheiden.

Für Trunkierung und Maskierung galten bisher folgende Regeln:

  • Maskierung: PCI DSS-Anfor­derung 3.3 besagt, dass maximal die ersten sechs und letzten vier Stellen („first 6, last 4“) der PAN angezeigt werden dürfen, solange es keinen Business Need für die Einsicht in die volle PAN gibt.
  • Trunkierung: In PCI DSS-Anfor­derung 3.4 wird Trunkierung als Beispiel für die Unkennt­lich­ma­chung von PANs benannt, aber nicht genauer definiert. Die erlaubten Formate werden jeweils von den inter­na­tio­nalen Zahlkarten-Organi­sa­tionen festgelegt und vom PCI SSC im FAQ-Eintrag #1091 zusam­men­ge­fasst. Die meisten Zahlkarten-Organi­sa­tionen hatten sich dabei auf die Regel „first 6, any other 4“ geeinigt, die viele Jahre Bestand hatte.

Änderung der Regeln für Trunkierung und Maskierung 

Aufgrund der Umstellung auf 8‑stellige BINs und der Notwen­digkeit vieler Unter­nehmen, diese zu verar­beiten, haben die Zahlkarten-Organi­sa­tionen ihre Vorgaben nun aber geändert. In der aktuellen Zusam­men­fassung im FAQ-Eintrag des PCI SSC ist nun definiert, dass für 16-stellige PANs bei der Trunkierung „first 8, any other 4“ zulässig ist.
Die (Test)Kartennummer 4012888888881881 dürfte dann in Zukunft z.B. in der Form 40128888xxxx1881 gespei­chert und verar­beitet werden – es reicht aus, wenn beliebige vier Stellen hinter der BIN ausgeixt sind.
Lediglich für kürzere PANs bleibt es bei den bestehenden Regeln „first 6, any other 4“ (Discover) bzw. „first 6, last 4“ (American Express).  Bei der Maskierung wird eine entspre­chende Anpassung der PCI DSS-Anfor­derung mit der Umstellung auf PCI DSS v4.0 erwartet.

Aus Sicher­heits­sicht ist das Ausixen so weniger Stellen keine Verbes­serung – aus der Business-Perspektive ist die Änderung aber wohl notwendig. Es bleibt zu hoffen, dass dies in der Gesamt­sicht durch andere Sicher­heits­maß­nahmen ausge­glichen wird.
Auf jeden Fall stehen in Zukunft die Anfor­de­rungen des PCI DSS der Verwendung einer 8‑stelligen BIN nicht im Wege.

Vorsicht bei der Kombi­nation verschie­dener Formate 

Händler und Dienst­leister, die mit trunkierten Karten­daten arbeiten, sollten – unabhängig von der Länge der BIN – darauf achten, den Schutz der Karten­daten nicht durch die Vermi­schung verschie­dener Formate zu schwächen.

  • Es muss darauf geachtet werden, dass die erwei­terten Trunkie­rungs­formate nur für 16-stellige PANs gelten. Die Länge der PAN muss also für die Trunkierung bei der Speicherung berück­sichtigt werden.
  • Trunkie­rungs­formate wie „first 6, any other 4“ erlauben theore­tisch das Vorliegen unter­schied­licher trunkierter Versionen der gleichen PAN. Die oben angeführte Karten­nummer könnte in einem System als 40128888xxxx1881 gespei­chert sein, in einem anderen als 401288888888xxxx. Das ist nicht verboten – es muss jedoch darauf geachtet werden, dass keiner ohne entspre­chenden Business Need die beiden Versionen zusam­men­führen kann und somit weitere Stellen der PAN – bis hin zur vollstän­digen Karten­nummer – rekon­stru­ieren kann.
    Dies gilt genauso, wenn für Maskierung und Trunkierung unter­schied­liche Formate verwendet werden.
  • Werden in einer Umgebung sowohl trunkierte PANs als auch die Hash-Werte von PANs gespei­chert, so sind die beiden Werte an sich erst einmal unkri­tisch. Lassen sich die trunkierten PANs und ihre Hash-Werte jedoch in Verbindung bringen, lässt sich über Rainbow Tables leicht die ursprüng­liche volle PAN rekon­stru­ieren. Auch in diesem Fall muss also über zusätz­liche Maßnahmen die Möglichkeit der Zusam­men­führung der beiden Versionen verhindert werden.

 

 

PCI DSS v4.0 kommt – Ein Überblick

Der PCI DSS (Payment Card Industry Data Security Standard) ist als umfas­sender Daten­si­cher­heits­standard für Zahlkar­ten­daten der inter­na­tio­nalen Zahlsysteme bekannt. Das Payment Card Industry Security Standards Council (PCI SSC) entwi­ckelt den Standard im Laufe der Zeit weiter, damit er mit fortschrei­tenden Risiken und Bedro­hungen, der sich ständig verän­dernden IT- und Zahlungs­ver­kehrs­land­schaft und geänderten Sicher­heits­an­for­de­rungen Schritt hält.

Das PCI SSC arbeitet seit langem an der neuen, grund­legend überar­bei­teten Version 4.0 des Standards. Nach drei RFC-Phasen in den zurück­lie­genden Jahren wird die neue Version nun im März 2022 offiziell auf der PCI SSC-Website veröffentlicht.
Einige Änderungen wurden bereits angekündigt und werden im Folgenden vorgestellt.

Neue Validie­rungs­op­tionen

Das PCI SSC plant, den Standard flexibler zu gestalten. Tradi­tionell besteht der vorge­sehene Weg zur Erfüllung einer PCI DSS-Anfor­derung darin, ihr Wort für Wort zu folgen. Jetzt plant das PCI SSC, eine Wahlmög­lichkeit anzubieten: Für fast jede Anfor­derung kann ein Unter­nehmen entweder die tradi­tio­nelle Variante wählen, sie Wort für Wort zu erfüllen, oder sie kann eine indivi­duelle, „custo­mized“ Validierung nutzen.

Zu jeder Anfor­derung im Standard wird das Ziel angegeben, das mit der Anfor­derung erreicht werden soll. Wenn ein Unter­nehmen der Meinung ist, dass sie dieses Ziel auf andere Weise erreichen möchte, als durch wortwört­liche Befolgung der Anfor­derung, kann sie ihren Weg dahin dokumen­tieren. Hierzu gehört auch eine Risiko­be­wertung, um die Angemes­senheit des gewählten „custo­mized“ Weges zu überprüfen. Diese Dokumen­tation, inklusive der Risiko­be­wertung, wird dann dem Assessor zur Verfügung gestellt. Der Assessor identi­fi­ziert auf dieser Grundlage geeignete Testver­fahren zur Überprüfung der Umsetzung der „custo­mized“ Maßnahmen.

Änderungen an Anforderungen 

Um sicher­zu­stellen, dass die PCI DSS-Konfor­mität das ganze Jahr über aufrecht­erhalten wird, wurden zusätz­liche Anfor­de­rungen vom PCI SSC angekündigt, z.B. die Notwen­digkeit für

  • Die Definition von Rollen und Verant­wort­lich­keiten für alle PCI-DSS-relevanten Themen, und für
  • Regel­mäßige Überprü­fungen des PCI-DSS-Anwen­dungs­be­reichs (Scope).

Darüber hinaus werden bestehende Anfor­de­rungen an verän­derte Bedro­hungs­lagen und Sicher­heits­an­for­de­rungen angepasst. Unter anderem zu den folgenden Themen wurden Änderungen angekündigt:

  • Anfor­de­rungen an die Authentifizierung,
  • Erken­nungs­me­cha­nismen und Sensi­bi­li­sie­rungs­maß­nahmen für aktuelle Bedro­hungen, sowie
  • Risiko­be­wer­tungen.

Auch die Verwendung von 8‑stelligen BINs wird berück­sichtigt werden müssen (vgl. unseren Blog-Eintrag).
Die genauen Details zu Änderungen stehen natürlich erst nach der endgül­tigen Veröf­fent­li­chung fest.

Übergangs­prozess

Das PCI SSC hat eine Übergangs­frist von zwei Jahren angekündigt, plus eine zusätz­liche Übergangszeit für grund­legend neue Anfor­de­rungen. Nehmen Sie sich also nach der Veröf­fent­li­chung im März 2022 die Zeit, die neue PCI-DSS-Version zu lesen, die Änderungen zu identi­fi­zieren und die Auswir­kungen auf Ihre Umgebung zu verstehen. Nutzen Sie dieses Jahr, um die Umstellung auf PCI DSS v4.0 zu planen und zu entscheiden, wann der richtige Zeitpunkt für Ihr Unter­nehmen ist, von Version 3.2.1 auf 4.0 umzusteigen.

Ihr PCI DSS-Berater oder ‑Auditor kann Ihnen helfen, die Intention hinter den Änderungen, Ihren Anpas­sungs­bedarf und die Validie­rungs­an­for­de­rungen zu verstehen. Bitte zögern Sie nicht, sie zu kontak­tieren. Wenn Sie noch keinen Ansprech­partner zu PCI DSS haben, wenden Sie sich gerne an SRCs Themen­ver­ant­wort­liche.

Um sich einen ersten Überblick über die Änderungen des Standards zu verschaffen, können Sie auch an unserem kosten­losen PCI DSS v4.0‑Webinar am 21./22. April teilnehmen: Hier gehts zur Anmeldung.

 

PCI DSS v4.0-Veröffentlichung verzögert sich

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröf­fent­li­chung einer neuen, grund­legend überar­bei­teten Version des Zahlungs­ver­kehrs­stan­dards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durch­laufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgel­tenden Dokumente, insbesondere

  • die Vorlage für den Report on Compliance (ROC)
  • die Vorlage für die Attestation of Compliance (AOC), und
  • die Self-Assessment Questi­on­n­aires (SAQs)

im Juni 2021 einer RFC-Phase zu unter­ziehen. Damit wird sich aber auch die Veröf­fent­li­chung des PCI DSS v4.0 weiter verzögern.

Statt des angekün­digten Veröf­fent­li­chungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröf­fent­licht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzö­gerung der Veröf­fent­li­chung verschieben sich ebenso die geplanten Übergangs­fristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.