PCI DSS v4.0 kommt – Ein Überblick
Der PCI DSS (Payment Card Industry Data Security Standard) ist als umfassender Datensicherheitsstandard für Zahlkartendaten der internationalen Zahlsysteme bekannt. Das Payment Card Industry Security Standards Council (PCI SSC) entwickelt den Standard im Laufe der Zeit weiter, damit er mit fortschreitenden Risiken und Bedrohungen, der sich ständig verändernden IT- und Zahlungsverkehrslandschaft und geänderten Sicherheitsanforderungen Schritt hält.
Das PCI SSC arbeitet seit langem an der neuen, grundlegend überarbeiteten Version 4.0 des Standards. Nach drei RFC-Phasen in den zurückliegenden Jahren wird die neue Version nun im März 2022 offiziell auf der PCI SSC-Website veröffentlicht.
Einige Änderungen wurden bereits angekündigt und werden im Folgenden vorgestellt.
Neue Validierungsoptionen
Das PCI SSC plant, den Standard flexibler zu gestalten. Traditionell besteht der vorgesehene Weg zur Erfüllung einer PCI DSS-Anforderung darin, ihr Wort für Wort zu folgen. Jetzt plant das PCI SSC, eine Wahlmöglichkeit anzubieten: Für fast jede Anforderung kann ein Unternehmen entweder die traditionelle Variante wählen, sie Wort für Wort zu erfüllen, oder sie kann eine individuelle, „customized“ Validierung nutzen.
Zu jeder Anforderung im Standard wird das Ziel angegeben, das mit der Anforderung erreicht werden soll. Wenn ein Unternehmen der Meinung ist, dass sie dieses Ziel auf andere Weise erreichen möchte, als durch wortwörtliche Befolgung der Anforderung, kann sie ihren Weg dahin dokumentieren. Hierzu gehört auch eine Risikobewertung, um die Angemessenheit des gewählten „customized“ Weges zu überprüfen. Diese Dokumentation, inklusive der Risikobewertung, wird dann dem Assessor zur Verfügung gestellt. Der Assessor identifiziert auf dieser Grundlage geeignete Testverfahren zur Überprüfung der Umsetzung der „customized“ Maßnahmen.
Änderungen an Anforderungen
Um sicherzustellen, dass die PCI DSS-Konformität das ganze Jahr über aufrechterhalten wird, wurden zusätzliche Anforderungen vom PCI SSC angekündigt, z.B. die Notwendigkeit für
- Die Definition von Rollen und Verantwortlichkeiten für alle PCI-DSS-relevanten Themen, und für
- Regelmäßige Überprüfungen des PCI-DSS-Anwendungsbereichs (Scope).
Darüber hinaus werden bestehende Anforderungen an veränderte Bedrohungslagen und Sicherheitsanforderungen angepasst. Unter anderem zu den folgenden Themen wurden Änderungen angekündigt:
- Anforderungen an die Authentifizierung,
- Erkennungsmechanismen und Sensibilisierungsmaßnahmen für aktuelle Bedrohungen, sowie
- Risikobewertungen.
Auch die Verwendung von 8‑stelligen BINs wird berücksichtigt werden müssen (vgl. unseren Blog-Eintrag).
Die genauen Details zu Änderungen stehen natürlich erst nach der endgültigen Veröffentlichung fest.
Übergangsprozess
Das PCI SSC hat eine Übergangsfrist von zwei Jahren angekündigt, plus eine zusätzliche Übergangszeit für grundlegend neue Anforderungen. Nehmen Sie sich also nach der Veröffentlichung im März 2022 die Zeit, die neue PCI-DSS-Version zu lesen, die Änderungen zu identifizieren und die Auswirkungen auf Ihre Umgebung zu verstehen. Nutzen Sie dieses Jahr, um die Umstellung auf PCI DSS v4.0 zu planen und zu entscheiden, wann der richtige Zeitpunkt für Ihr Unternehmen ist, von Version 3.2.1 auf 4.0 umzusteigen.
Ihr PCI DSS-Berater oder ‑Auditor kann Ihnen helfen, die Intention hinter den Änderungen, Ihren Anpassungsbedarf und die Validierungsanforderungen zu verstehen. Bitte zögern Sie nicht, sie zu kontaktieren. Wenn Sie noch keinen Ansprechpartner zu PCI DSS haben, wenden Sie sich gerne an SRCs Themenverantwortliche.
Um sich einen ersten Überblick über die Änderungen des Standards zu verschaffen, können Sie auch an unserem kostenlosen PCI DSS v4.0‑Webinar am 21./22. April teilnehmen: Hier gehts zur Anmeldung.