Deutsch

English

Deutsch

English
Übergangsphase zu PCI DSS v4.0

Übergangsphase zu PCI DSS v4.0

Erfahren Sie Wissenswertes zur Übergangsphase von PCI DSS Version 3.2.1 auf die neue Version 4.0.

Themenübersicht

Was bedeutet „Übergangsphase zu PCI DSS v4.0“?

Für einen PCI DSS Compliance Nachweis sind Unternehmen es gewohnt, sich nach einer einzigen, aktuellen Version richten zu müssen. Wenn allerdings alle paar Jahre eine größere Anpassung der Inhalte des PCI Standards erfolgt, findet man sich in der jetzigen Situation wieder: Mit der Veröffentlichung der PCI DSS Version 4.0 am 31.03.2022 hat das Payment Card Industry Security Standards Council das umfangreichste Update des Standards seit der Version 1.0 präsentiert. Für eine Übergangsphase von einem Jahr kann der PCI Nachweis sowohl in Version 3.2.1 als auch 4.0 durchgeführt werden.

Warum muss ich bei der Scanplanung neuerdings prüfen, ob ich einen ASV Scan für PCI v3.2.1 oder v4.0 benötige?

Die Änderungen in PCI v4.0 haben auch eine Auswirkung auf die Inhalte, die bei einem ASV Scan zu prüfen sind. Folglich existiert pro PCI Version auch eine passende Version für den ASV Scan Report. Daher müssen Sie ab sofort bei der Scanplanung angeben, für welche PCI DSS Version Sie einen ASV Scan-Bericht erstellen lassen wollen.

Welche PCI Version muss ich für meinen ASV Scan Report auswählen?

Grundlegend wichtig ist, dass Ihr ASV Scan Report genau in der PCI Version erstellt wird, in der Sie auch den Compliance Nachweis über den SAQ erbracht haben. Konkret: Haben Sie Ihren Nachweis also mit v3.2.1 erbracht, muss der ASV Scan Bericht auch in dieser Version erstellt werden. Bei einem SAQ mittels v4.0 ist dann auch der Scanbericht in der 4.0-Variante zu erstellen.

Ich habe versehentlich die falsche Version für meinen ASV Scan Report gewählt. Kann ich das noch nachträglich ändern?

Achten Sie bitte unbedingt darauf, die Prüfvariante zu nutzen, die auch zu Ihrer gewählten PCI DSS Version passt. Eine nachträgliche Anpassung ist leider nicht möglich.

Woran erkenne ich, welche PCI Version ich für meinen Nachweis genutzt habe?

Öffnen Sie dazu Ihre Attestation of Compliance (AoC). Auf dem Deckblatt ist eindeutig festgehalten, in welcher PCI DSS Version Ihr Nachweis erbracht wurde. Sollten Sie den SAQ noch nicht abgeschlossen haben, informieren Sie sich bei dem Anbieter der Online-Plattform, auf der Sie den Nachweis erbringen.

Wo gebe ich an, welchen ASV Scan Bericht ich für meinen Compliance Nachweis benötige?

Wenn Sie einen ASV Scan über unsere Plattform durchführen lassen, werden Sie innerhalb der Scanplanung gefragt, in welcher Version Ihr ASV Scan Report erstellt werden soll. In der Voreinstellung wird v3.2.1 dort für Sie ausgewählt sein. Wenn Sie den Bericht in v4.0 wünschen, wählen Sie dort die entsprechende Version aus.
Da sich der passende ASV Scan Bericht an der PCI Version orientiert, mit der Ihr Unternehmen den PCI Nachweis erbringt, wählen Sie vielmehr die PCI Version und nicht den korrekten ASV Scan Bericht. Die korrekte Zuordnung übernehmen wir für Sie.

Bis wann werden mir ASV Scans nach PCI v3.2.1 zur Verfügung stehen?

Diese stehen Ihnen bis zum 31.03.2025 zur Verfügung.

Welche der beiden PCI DSS Versionen muss ich aktuell für meinen Compliance Nachweis anwenden?

Sie haben die Wahl! Die (aktualisierte) Version 4.0 wird erst zum 31.03.2024 (sunset date) für alle Unternehmen verpflichtend. Bis zu diesem Termin liegt die Entscheidung beim Unternehmen selbst, nach welcher Version der PCI Nachweis erbracht wird. Aktuell kann demnach der PCI Nachweis per Version 3.2.1 sowie nach Version 4.0 erfolgen.
Hinweis: Da PCI Compliance in der Regel aktiv eingefordert wird, empfehlen wir Ihnen mit Ihren Vertragspartnern (z.B. Acquirer, Kartenorganisationen, IATA) Rücksprache über die anzuwendende Version für Ihren PCI Nachweis zu halten. Im Fokus stehen die Partner, die aktuell mit der Verpflichtung zum PCI Nachweis an Sie herangetreten sind.

Kann ich einen SAQ nach Version 4.0 über die PCI DSS Plattform abschließen?

An manchen Stellen sind die Anforderungen nach v4.0 höher als in der Vorgängerversion. Wir tendieren daher dazu, Ihren PCI Nachweis mittels SAQ in der Version 3.2.1 so lang wie möglich anzubieten. Für die Übergangsphase ist kein Mischbetrieb der beiden Versionen 3.2.1 und 4.0 geplant.
Hinweis: Sollten Sie die Version 4.0 für Ihren SAQ nutzen wollen, können Sie sich die Dokumente auf der offiziellen Website des PCI Security Standards Council herunterladen und manuell ausfüllen.

Wie ist die Gültigkeit der Versionen 3.2.1 und 4.0 geregelt?

31.03.2022 bis 31.03.2024
In der Übergangszeit können Zertifizierungen nach PCI DSS v3.2.1 oder v4.0 erfolgen. Gut zu wissen: Der Nachweis nach v3.2.1 ist auch nach Abschluss noch ein Jahr gültig.

Ab 01.04.2024
Ein Nachweis nach PCI DSS v3.2.1 ist ab sofort nicht mehr möglich. Zertifizierungen müssen nun in jedem Fall nach v4.0 durchgeführt werden.

Verliert mein in PCI v3.2.1 abgeschlossener SAQ am 01.04.2024 seine Gültigkeit?

Nein, das ist nicht der Fall. Der Nachweis nach v3.2.1, solange er bis zum 31.03.2024 abgeschlossen wurde, bleibt auch über das Datum hinaus für 12 Monate gültig. Somit wäre es rein formal möglich, dass Ihr Unternehmen bis zum 31.03.2025 mit v3.2.1 seine PCI Compliance nachweist.

Was passiert, wenn ich meinen SAQ in v3.2.1 am 01.04.2024 (oder später) noch nicht abgeschlossen habe?

Da der Abschluss des SAQs nach dem Datum nicht mehr erlaubt ist, muss der Nachweis nach v4.0 gestartet und abgeschlossen werden. Auf der PCI Plattform wird Ihr nicht abgeschlossener SAQ automatisch verworfen.
Wichtig: Wir empfehlen Ihnen den SAQ rechtzeitig abzuschließen, damit die Angaben nicht verloren gehen.

Gibt es komplett neue Anforderungen, die sofort umgesetzt werden müssen?

Auch wenn es komplett neue Anforderungen gibt, sind diese erst nach einer Implementierungsphase ab dem 01.04.2025 verpflichtend umzusetzen. Die sogenannten „Future-Dated Requirements“ gelten bis zum 31.03.2025 als Best-Practice und sind in dem Zeitraum bis zum 31.03.2025 optional. Ab diesem Stichtag sind alle neuen Anforderungen des PCI DSS v4.0 verbindlich umzusetzen.

Gibt es in der Übergangsphase andere Regeln in Bezug auf die Verpflichtung vierteljährliche ASV Scans durchführen zu müssen?

Nein, an den grundlegenden Regeln für Scanpflicht ändert sich weder in der Übergangszeit noch für PCI v4.0 nichts. Die Prüfung der externen Erreichbarkeit (Scanpflicht) ist immer noch an Abwicklungswege und SAQ Typen gebunden.

Kann es sein, dass ich nach v3.2.1 keine ASV Scans durchführen musste, jedoch mit der neuen v4.0 sich eine Scanpflicht für mein Unternehmen ergibt?

Ja, dies kann durchaus sein.
Auch wenn sich die Einstufung in die SAQ Typen mit PCI v4.0 nicht geändert hat, gibt es in Bezug auf den SAQ Typen A eine signifikante Änderung in Bezug auf die Durchführung von ASV Scans: Mit Version 4.0 wird die Anforderung zur Durchführung von ASV Scans in den SAQ aufgenommen.
Fachlich ist das darin begründet, dass der PCI-Prüfumfang bei Kartenzahlungen auf die Webseite selbst erweitert wurde. Somit rückt die Checkout-Seite im Webshop, die den Absprung zum PCI zertifizierten Dienstleister bei der Kartenzahlung einleitet, in den Prüfumfang von PCI DSS.

Dies hat Auswirkungen auf alle Händler, die im E-Commerce die Kartenzahlung bzw. -eingabe auf der eigenen Webseite akzeptieren. Gemäß den Vorgaben rückt die Sicherheit des Absprungpunkts auf der Bezahlseite (Payment Page) beim Händler in den PCI-Prüfumfang. Der Interpretation nach bedeutet das für jeden E-Commerce Händler, der die Eingabe von Kartendaten auf der eigenen Webseite erlaubt, dass sein Webshop mittels ASV Scans alle 90 Tage auf externe Schwachstellen zu prüfen ist.

Dies ist der Entwicklung geschuldet, dass die Checkout-Seite mit dem Link zur Kartenzahlung für Angriffe Dritter immer mehr in den Fokus rückte. Über Web-Skimming und unsicheren Payment Page Skripten versuchen Angreifer bereits vor der Weiterleitung des Karteninhabers auf die Seiten des PCI zertifizierten Partners in die Abwicklung einzugreifen.

Was versteht man unter einer Payment Page?

Der Definition nach handelt es sich um ein Webformular, in das der Karteninhaber die vollständige Kartennummer (PAN) einträgt. Bezogen auf eine Abwicklung im E-Commerce geht es um die Eingabemaske, in die der Karteninhaber bei der Zahlung die Kartennummer eingibt.

Was versteht man unter Payment Page Skripten?

In PCI v4.0 taucht die Bezeichnung in der neuen Anforderung 6.4.3 auf, die als sogenanntes Future Dated Requirement erst ab dem 01.04.2025 verpflichtend umgesetzt sein muss. Dort geht es um Skripte, die auf der Bezahlseite eingebunden sind. Diese können vom Händler selbst, dem Payment Service Provider oder von Drittanbietern kommen. Von den Funktionen her können die Skripte z.B. im Rahmen des Payments die Generierung des iframes oder die Steuerung des Redirects in SAQ A betreffen. Es ist auch möglich, dass es sich um Skripte handelt, die die korrekte Eingabe von Kartendaten prüfen oder für Werbezwecke, Statistiken bzw. Design eingesetzt werden. Es sind noch viele weitere Funktionen denkbar.

All diesen Skripten ist gemein, dass sie auf der Seite extern geladen und/oder ausgeführt werden können und sie somit einen relevanten Faktor für die Sicherheit bei der Kartenzahlung darstellen.

Welches Risiko stellt die Verwendung von Payment Page Skripten dar und welchen Ansatz gibt es, sich dagegen zu schützen?

Es besteht die Gefahr, dass diese scheinbar harmlosen Skripte von Angreifern genutzt werden, um bösartige Skripte hochzuladen und unbemerkt zu verwenden. Bösartige Skripte könnten dann die Kartendaten aus dem Browser der Kunden auslesen und herausfiltern.

Um dem entgegen zu wirken, reduzieren Sie am besten die Anzahl der Skripte, die manipuliert werden könnten: Stellen Sie sicher, dass nur Skripte verwendet werden, die für die Funktion Ihrer Zahlungsseite notwendig sind und deren Relevanz sie nachvollziehen können.

Zudem sollte sichergestellt werden, dass unnötige Skripte nicht ohne entsprechende Genehmigung der Geschäftsleitung zur Zahlungsseite hinzugefügt werden.

Welche Sicherheit rund um die Payment Page Skripte muss gewährleistet sein?

Die Sicherheit von Payment Page Skripten findet in den Anforderungen 6.4.3 sowie 11.6.1 Anwendung:

Anforderung 6.4.3
Es wird vorgeschrieben, dass nur absolut notwendige Skripte auf der Payment Page ausgeführt werden sollen. Um eine sichere Verwaltung zu gewährleisten, ist es erforderlich, dass die Skripte inventarisiert, autorisiert und auf Integrität geprüft werden. Für jedes Skript muss zusätzlich begründet werden, warum es auf der Payment Page eingebunden wird.

Anforderung 11.6.1
Es wird ein Verfahren gefordert, welches unautorisiert vollzogene Änderungen am Inhalt der Payment Page und/oder des http-Headers frühzeitig erkennt. Um das Ziel zu erreichen, muss die Prüfung periodisch erfolgen. Bei Auffälligkeiten muss zeitgleich automatisiert ein Alarm beim Händler/Service Provider eingehen.

Wo kann ich mehr über die Neuerungen rund um die PCI DSS Version 4.0 erfahren?

Unsere Experten haben die Neuerungen, die PCI DSS v4.0 mit sich bringt, in Video- und Blog-Beiträgen für Sie zusammengefasst. Über weitere Neuerungen halten wir Sie daher mit unseren PCI News-Beiträgen auf unserer Unternehmens-Webseite auf dem Laufenden.

Hilfekachel Bild

Haben Sie noch offene Fragen?

Gerne ist unser PCI Competence Center für Sie da. Nutzen Sie unser Kontaktformular, um uns Ihre Anfrage bequem und direkt zu senden. Alternativ haben Sie die Möglichkeit, uns Ihre Frage per E-Mail an pci@usd.de oder per Sprachnachricht unter der Telefonnummer +49 (0) 6102 8631-90 zu senden.