Unser September-Blog-Eintrag zu PCI DSS v4.0
Timeline für die PCI DSS v4.0‑Migration – Was sind die nächsten Schritte?
Mit dem 31.03.2024 rückt das Ende von PCI DSS v3.2.1 näher. Alle Händler, die Zahlungen mit Karten der internationalen Zahlungsmarken Visa, Mastercard, American Express, Discover, JCB oder UnionPay akzeptieren, und alle Dienstleister, die sie dabei unterstützen, sollten auf PCI DSS v4.0 vorbereitet sein.
Aber was sollte man konkret wann tun?
Gap-Analyse
Am Anfang sollte eine Gap-Analyse stehen. Wer bisher noch nicht überprüft hat, welche neuen Anforderungen mit PCI DSS v4.0 auf ihn zukommen, sollte dies so schnell wie möglich nachholen! Die Gründe liegen auf der Hand:
- Die Umsetzung neuer Anforderungen wird Zeit und Ressourcen benötigen.
- PCI DSS-Fachleute, die bei der Umsetzung beraten können, sind bereits gut gebucht.
Bei der Gap-Analyse müssen die neuen Anforderungen gelesen und verstanden werden und mit der bestehenden Maßnahmen-Landschaft abgeglichen werden. Für das Verständnis der Anforderungen ist es extrem hilfreich, nicht nur die Anforderung an sich zu lesen, sondern auch die umfangreichen Hilfestellungen, die das PCI SSC jeder Anforderung im Standard zur Seite gestellt hat:
- Die „Guidance“-Spalte (rechts von der Anforderung),
- die mit der Anforderung verfolgte Zielsetzung (unterhalb der Anforderung),
- und, sofern vorhanden, die Hinweise zur Anwendbarkeit (unterhalb der Anforderung).
Auch die einleitenden Kapitel des PCI DSS v4.0 und das Glossar im Anhang G können bei Fragen zu Begrifflichkeiten und Anwendbarkeit unterstützen.
Wenn Sie bereits mit einem PCI DSS-Experten zusammenarbeiten, greifen Sie gerne schon in diesem Schritt auf dessen Expertise und Erfahrung zurück.
Priorisierung
Wenn alle offenen Punkte identifiziert wurden, sollten ihnen Zeiträume und Verantwortlichkeiten zugewiesen werden.
Bei der Zuweisung der Zeiträume sollte das Folgende beachtet werden:
- Wie lange wird die Umsetzung voraussichtlich dauern?
Die Implementierung neuer technischer Lösungen dauert aufgrund interner Abhängigkeiten häufig lang. Oft kommt dies zusammen mit geringen Personalressourcen. Themen, bei denen absehbar ist, dass ihre Umsetzung lange dauern wird, müssen früher angegangen werden als welche, die voraussichtlich schnell erledigt sind. - Werden gezielte Risikoanalysen verlangt?
In v4.0 ist die Häufigkeit der Durchführung für viele regelmäßige Aufgaben nicht mehr fest vorgeschrieben, sondern soll durch eine gezielte Risikoanalyse bestimmt werden. Die Durchführung solcher gezielten Risikoanalysen muss intern abgestimmt werden und erfordert entsprechend Zeit. - Gibt es Zeiträume, die sich besonders gut oder schlecht für die Umsetzung eignen?
Für die Änderung von Richtlinien kann es z.B. sinnvoll sein, Dokumenten-Review-Zyklen zu berücksichtigen. Bei technischen Änderungen ergibt es Sinn, eventuelle Freeze-Perioden oder bereits geplante Release-Zeiträume zu berücksichtigen. - Ist die PCI DSS v4.0‑Deadline für diese Anforderung 2024 oder 2025?
Bei vielen grundlegend neuen Anforderungen im PCI DSS v4.0 ist in den Hinweisen zur Anwendbarkeit vermerkt, dass die Anforderung bis zum 31.03.2025 als Best Practice angesehen wird und erst danach verpflichtend ist.
Anforderungen ohne diesen Hinweis müssen bis zum 31.03.2024 umgesetzt sein und sollten daher ggf. höher priorisiert werden.
Entscheidungen
Für manche neuen Anforderungen gibt es verschiedene Möglichkeiten, sie umzusetzen.
Beispiele dafür sind:
- Anforderung 3.4.2 fordert die Verhinderung von Kopieren/Verschieben von PAN bei remote-Zugriffen (außer für Personal mit entsprechendem Business Need). Auch hierfür kann es mehrere Wege geben – z.B. über eine Einstellung in RDP bei Nutzung der Remote-Verbindung, oder indem man bei PAN-Anzeigen auf entsprechenden Webseiten Markieren/Kopieren/Maus-Rechtsklicks verhindert.
- Anforderung 8.4.2 fordert die Erzwingung von Multi-Faktor-Authentifizierung (MFA) bei Zugriffen in die Cardholder Data Environment (CDE). Je nachdem, wie die Zugriffe in Richtung CDE stattfinden, kann es sinnvoll sein, die MFA auf Netzwerkebene zu erzwingen, oder auf Systemebene, oder auf Anwendungsebene. Diese Entscheidung muss unter Einbeziehung der verschiedenen Verantwortlichen gut abgewogen werden. Gegebenenfalls müssen hier sogar mehrere Parteien zusammenarbeiten.
Wägen Sie frühzeitig ab, welche Auswirkungen welcher Weg für Sie hat!
Nachverfolgung und Bewertung
Wenn Sie Ihre Aufgaben zeitlich priorisiert haben und sich für Umsetzungswege entschieden haben: lehnen Sie sich bitte nicht zurück! Die Person oder das Team, welches für die Aufrechterhaltung der PCI DSS-Konformität verantwortlich ist, sollte mit den Teams, die für die Umsetzung verantwortlich sind, in Kontakt bleiben.
- Gibt es Rückfragen/Verständnisfragen?
- Gibt es Probleme bei der Umsetzung?
- Ist die Einhaltung des vereinbarten Zieltermins gefährdet?
Sobald eine Aufgabe umgesetzt ist, sollte geprüft werden, ob die Lösung der entsprechenden PCI DSS-Anforderung standhält. Wenn gewünscht, können auch für solche kleinen Zwischen-Assessments externe PCI DSS-Experten hinzugezogen werden, um auf der sicheren Seite für das nächste offizielle Assessment zu sein.
Kontinuierlicher Prozess
Wenn eine Anforderung einmal erfüllt ist, ist nicht gewährleistet, dass dies so bleibt. Kartendatennutzung, Technologien und Angriffsvektoren ändern sich. Bereits heute beinhaltet der PCI DSS v3.2.1 regelmäßige Aufgaben zur Aufrechterhaltung der PCI DSS-Konformität. Mit dem PCI DSS v4.0 entwickelt sich dies immer mehr zu einem kontinuierlichen Prozess.
Gewöhnen Sie sich daher bereits jetzt daran, Ihre Maßnahmen immer wieder auf den Prüfstand zu stellen, und die (in Kapitel 7 des PCI DSS jetzt genau definierten) Zeiträume für wiederkehrende Tätigkeiten einzuhalten. So wird Ihnen auch die Einhaltung neuer entsprechender Anforderungen leichter gelingen, wie bspw.
- 2.4 / 7.2.5.1 Review von Benutzerkonten und zugeordneten Zugriffsrechten,
- 3 Review von Risikoeinschätzungen und Review der Angemessenheit und Sicherheit von verwendeten kryptografischen Algorithmen, Hardware- und Software-Technologien,
- 5 Validierung des PCI DSS-Anwendungsbereichs und
- 6.2 Review des Security Awareness-Programms.
Aber vor allem: Anfangen!
Dies ist der wichtigste Schritt. Wenn Sie noch nicht angefangen haben, ist heute der beste Tag, dies zu tun.
Stellen Sie ein Team zusammen und planen Sie Zeit ein.
Bei Fragen unterstützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.