Der Countdown beginnt: Schritte zur Einführung von PCI-DSS v4.0 bis 2024

Von John Leyden • 26 October 2023

Die bevorstehenden Änderungen im Payment Card Industry Data Security Standard (PCI-DSS) werden strengere Sicherheitsanforderungen an alle Unternehmen stellen, die Karteninhaberdaten verarbeiten.

PCI DSS Die Einhaltung ist für alle Händler erforderlich, die Kreditkartenzahlungen akzeptieren. Alle Händler müssen bei der Speicherung, Verarbeitung und Übertragung von Karteninhaberdaten ein Mindestmaß an Sicherheit einhalten. Organisationen, die ein größeres Transaktionsvolumen abwickeln, unterliegen strengeren Anforderungen, einschließlich der Anforderung externer Sicherheitsüberprüfungen.

Der Payment Card Industry Security Standards Council (PCI SSC) verwaltet den Standard und die großen Kreditkartenmarken, darunter Visa und Mastercard, schreiben seine Verwendung vor.

A bedeutende Überarbeitung des Standards, PCI-DSS v4zielt darauf ab, auf neue Bedrohungen und die sich verändernden Sicherheitsbedürfnisse der Zahlungsbranche zu reagieren. Der Standard bietet eine Grundlage technischer und betrieblicher Anforderungen, die gemeinsam auf den Schutz von Kontodaten abzielen.

PCI-DSS v4 kommt

PCI DSS v4.0 besteht aus 12 Anforderungen, die in sechs Kategorien unterteilt sind, darunter:

Verstärkter Fokus auf Sicherheit als kontinuierlichen Prozess
Mehr Flexibilität bei der Art und Weise, wie Unternehmen ihre Sicherheitsziele erreichen können
Neue Anforderungen an Dienstanbieter, darunter der Einsatz von Multi-Faktor-Authentifizierung und die Implementierung einer Zero-Trust-Architektur
Überarbeitete Anforderungen für die Softwareentwicklung, einschließlich sicherer Codierungspraktiken und der Verwendung automatisierter Tools für Schwachstellenscans und Penetrationstests
Strengere Regeln für die Passwortverwaltung, einschließlich der Verwendung von Passphrasen und des Verbots bestimmter Arten von Passwörtern
Förderung einer systematischeren und effektiveren Verschlüsselung, einschließlich der Unterstützung der Einführung quantensicherer Kryptographie

Die 12 Steuerelemente in PCI DSS 4.0 ähneln im Wesentlichen der Version 3.2.1. PCI DSS v3.2.1 wird abgeschrieben, da es nicht mit den Veränderungen in der Branche und den Taktiken der Cyberkriminellen Schritt halten konnte.

Während frühere Versionen des Frameworks Vorschriften enthielten (Bereitstellung von Firewalls, Anwendung von Antiviren-Kontrollen usw.), ist PCI DSS 4.0 darauf ausgerichtet, umfassendere Bemühungen von Organisationen zur Verbesserung ihrer Sicherheitsreife zu unterstützen.

Obwohl einige der Änderungen evolutionärer Natur sind – etwa die Änderung der Anforderungen an Antivirensoftware auf eine Anti-Malware-Lösung oder die Änderung der Netzwerkanforderungen, um den Unterschied zwischen Cloud- und physischen Netzwerkarchitekturen widerzuspiegeln –, sind andere substanzieller. Beispielsweise müssen Organisationen eine Multi-Faktor-Authentifizierung bereitstellen, um auf die Umgebung mit Karteninhaberdaten zuzugreifen.

Erkennen der erhöhten Bedrohung durch Angriffe auf die Lieferkettewerden E-Commerce-Händler außerdem aufgefordert, einen Softwarebestand einschließlich Bibliotheken und Komponenten zu führen. Darüber hinaus erfordert das Framework Schutz vor E-Commerce-Skimming-Angriffen durch aktive Verwaltung und Erkennung von Änderungen in JavaScript auf der Zahlungsseite.

PCI-DSS v4 legt außerdem Wert darauf, Mitarbeiter über Sicherheitsrisiken und Best Practices aufzuklären.

Luke Dash, CEO von ISMS.online, kommentierte: „PCI-Konformität ist nicht nur ein Kästchen zum Ankreuzen; Es ist eine Verpflichtung gegenüber Ihren Kunden – ein Versprechen von Sicherheit, Transparenz und dauerhaften Geschäftsbeziehungen.“

Joseph Carson, Chefsicherheitswissenschaftler und beratender CISO bei Delina, fügte hinzu: „PCI-DSS v4 hat die Messlatte höher gelegt und Standards für Cybersicherheit in der ZahlungskartenbrancheDabei handelt es sich nicht mehr nur um ein Kontrollkästchen, sondern um ein kontinuierliches Cybersicherheitsprogramm.

Carson fuhr fort: „Strenge Kontrollen im Zusammenhang mit der Zugriffssicherheit, einschließlich Multi-Faktor-Authentifizierung, privilegierter Zugriffssicherheit, Passwortsicherheit und verbesserte Standards für Phishing, bedeuten, dass das bevorstehende PCI-Audit größer sein wird als jedes vorherige Audit.“ Es wird wahrscheinlich viel mehr Vorbereitung und Ressourcen erfordern, um sicherzustellen, dass die Anforderungen erfüllt werden.“

PCI-DSS v4-Compliance-Frist

Organisationen haben bis zum 31. März 2024 Zeit, um Übergang von PCI DSS v3.2.1 auf v4.0 – mit einer Frist von 18 Monaten, um die vollständige Einhaltung bis März 2025 zu erreichen.

As zuvor berichtetIn der neuen Version des Standards liegt der Schwerpunkt stärker auf der Sicherung von E-Commerce-Zahlungsanwendungen, dem Schutz vor Angriffen im Magecart-Stil und der Implementierung sicherer Codierungspraktiken.

Der Schwerpunkt des überarbeiteten Rahmenwerks liegt auf der Absicherung von Transaktionen und dem Aufbau von Vertrauen.

John Elliott, Sicherheitsberater beim Anbieter von Sicherheitstools Jscrambler, sagte: „Die größte Herausforderung wird die Umsetzung der 51 neuen Anforderungen sein, die im April 2025 in Kraft treten. Einige davon erfordern möglicherweise eine Änderung der Geschäftsprozesse und erfordern die Anschaffung neuer Technologien oder.“ Lösungen.

„Einige – wie MFA [Multi-Faktor-Authentifizierung] für den gesamten Zugriff – haben Sie möglicherweise bereits im Rahmen Ihrer BAU-Sicherheitsupgrades (Business as Usual) implementiert, andere, wie die spezifischen Anforderungen zum Stoppen von E-Commerce-Skimming-Angriffen, werden jedoch noch benötigt Zeit und Technologie, um zufrieden zu stellen“, fügte Elliott hinzu.

Richard Orange, VP EMEA von Exabeam, fügte hinzu: „Der aktualisierte Standard legt Wert auf eine effektive Netzwerksegmentierung. Es ermutigt Unternehmen, Isolationsmaßnahmen zu implementieren, um die Gefährdung sensibler Daten zu verhindern, und einen Zero-Trust-Ansatz für die Netzwerksicherheit zu verfolgen. Unternehmen müssen Richtlinien zur sicheren Codierung befolgen, regelmäßige Codeüberprüfungen und Schwachstellenscans durchführen und eine sichere Anwendungskonfiguration gewährleisten.“

Leitung von PCI-Compliance-Projekten

Durch die proaktive PCI-DSS v4-Vorbereitung haben Unternehmen genügend Zeit, potenzielle Probleme zu beheben, sodass keine teuren Notlösungen in letzter Minute erforderlich sind.

Dash von ISMS.online kommentierte: „Eine frühzeitige PCI-DSS v4-Vorbereitung ermöglicht eine gestaffelte Implementierung, eine Kostenverteilung und eine Reduzierung von Betriebsunterbrechungen.“

Orange von Exabeam kommentierte: „Kleine Unternehmen könnten Schwierigkeiten haben, die strengeren Anforderungen von PCI-DSS v4 einzuhalten.“ Der verstärkte Fokus auf Verschlüsselung, Netzwerksegmentierung und Multi-Faktor-Authentifizierung (MFA) erfordert möglicherweise zusätzliche Investitionen in Ressourcen und Technologie, was die Budgets belasten könnte, insbesondere für Unternehmen, die seit der Pandemie bereits den Gürtel enger schnallen mussten.

„Im Gegensatz dazu fällt es größeren Unternehmen mit robusten Sicherheitsmaßnahmen möglicherweise leichter, sich an die neuen Änderungen anzupassen“, fügte er hinzu.

Trotz dieser Herausforderungen „kann die Einhaltung von PCI-DSS v4 die allgemeine Sicherheitslage verbessern und das Risiko von Datenschutzverletzungen verringern, die zu finanziellen Verlusten, Reputationsschäden und rechtlichen Verpflichtungen führen“, schlussfolgerte Orange von Exabeam.

Die Implementierung des Standards kann auch das Vertrauen der Kunden stärken und ein Zeichen dafür sein, dass wir uns für den Schutz sensibler Karteninhaberdaten engagieren.

Donnie MacColl, Senior Director, Technical Support und DPO, Fortra, ein Cybersicherheitsanbieter, erklärte, dass die mit PCI DSS v4 einhergehenden Änderungen nicht alle Unternehmen gleichermaßen betreffen werden.

„Es gibt vier verschiedene Compliance-Levels, die von einzelnen Organisationen gefordert werden und die auf dem Transaktionsvolumen über einen Zeitraum von 12 Monaten basieren“, sagte MacColl gegenüber ISMS.online.

Beispielsweise benötigen Organisationen mit niedrigerem Compliance-Level (Level 2 – 4) kein externes Audit, sondern können stattdessen einen Fragebogen zur Selbstbewertung ausfüllen. Wenn ein Unternehmen dagegen jährlich mehr als sechs Millionen Kartentransaktionen abwickelt, muss es die Einhaltung der Stufe 1 nachweisen, ein Prozess, der eine externe Prüfung durch einen qualifizierten Sicherheitsgutachter erfordert.

MacColl kam zu dem Schluss: „Unabhängig von der Unternehmensgröße erfordert ein effektiver Übergang zu PCI DSS 4.0 einen Ansatz, der technische und kulturelle Veränderungen berücksichtigt. Dabei handelt es sich nicht um eine einmalige Anstrengung. Es wird im Laufe der Zeit einen schrittweisen Ansatz erfordern.“

John Leiden

John Leyden schreibt seit mehr als 20 Jahren über Computernetzwerke und Cybersicherheit. Vor dem Aufkommen des Internets arbeitete er als Kriminalreporter bei einer Lokalzeitung in Manchester. John hat einen Abschluss in Elektrotechnik von der City, University of London.

Lesen Sie mehr von John Leyden

Datenschutz 22 August 2024

Unternehmen werden aufgefordert, die sich schnell entwickelnden KI-Vorschriften zu verfolgen

Unternehmen müssen sich an die sich rasch entwickelnden KI-Vorschriften halten

Künstliche Intelligenz (KI) verändert den Informationstechnologiesektor in schwindelerregendem Tempo. KI hat Anwendungen, einschließlich Daten, verändert ...

John Leiden

Internet-Sicherheit 20 Juni 2024

Warum Anbieter Schwierigkeiten haben könnten, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Warum es Anbietern schwerfallen könnte, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Zahlreiche Technologieanbieter haben sich der von der US-Regierung unterstützten „Secure by Design“-Verpflichtung angeschlossen. Doch stellt diese Verpflichtung einen Bruch mit der Vergangenheit dar?

John Leiden

Internet-Sicherheit 28. Mai 2024

Dekodierung der neuen NCSC-Richtlinien für Cloud-gehostete Scada-Banner

Entschlüsselung der neuen Leitlinien des NCSC für Cloud-gehostetes SCADA

Operational Technology (OT)-Systeme überwachen und steuern automatisch Prozesse und Geräte, die alles von Kraftwerken bis hin zu intelligenten Krankenhäusern betreiben.

John Leiden