Hinweis:Dieser Artikel sollte nur als Leitfaden verwendet werden. Sie sollten stets Ihren Acquirer oder einen Qualified Security Assessor (QSA) der Payment Card Industry Data Security Standards (PCI DSS) zur Klärung konsultieren. Er ist vor allem für Unternehmen relevant, die weniger als 6 Millionen Transaktionen verarbeiten.
Datensicherheit ist und bleibt ein wichtiges Thema in allen Bereichen, und ganz besonders wenn es um die Zahlungsdaten Ihrer Kunden geht. Daher ist es unabdingbar, dass die PCI-Konformität Ihres Unternehmens immer auf dem aktuellsten Stand ist. Doch zunächst eine kurze Zusammenfassung.
Was ist der aktuelle PCI-Sicherheitsstandard?
Die Gerüchte sind wahr; es ist tatsächlich eine neue Version des PCI DSS auf dem Weg. Die Version 4.0 sollte eigentlich bereits Mitte 2021 eingeführt werden, aber die Veröffentlichung verzögert sich nun bis Ende des Jahres. In der Zwischenzeit bleibt PCI DSS 3.2.1 der aktuelle PCI-Standard. Im Folgenden erfahren Sie, was das für Sie bedeutet und was Sie über den kommenden PCI DSS 4.0 wissen müssen.
PCI DSS ist eine Reihe von technischen und betrieblichen Anforderungen, die dem Schutz von Kontodaten, der Betrugsbekämpfung und der Verringerung des Risikos von Datenschutzverletzungen dienen. Der 2006 eingeführte PCI DSS wurde vomPCI Security Standards Council (PCI SSC)entwickelt, einem unabhängigen Gremium, das sich aus MasterCard, Visa, American Express, JCB und Discover zusammensetzt. Derzeit umfasstPCI DSS 12 Kernanforderungen.
Jede Organisation, die mit Karteninhaberdaten (Cardholder Data Environment, CDE) interagiert - d. h. Kontodaten sammelt, verarbeitet, speichert oder überträgt - muss den PCI DSS direkt oder durch eine jährliche Bewertung unabhängig oder zusammen mit Ihrem QSA einhalten. Der Standard ist zwar nicht Teil eines Gesetzes, wird aber weltweit angewandt. Die Nichteinhaltung von PCI DSS kann zu Verstößen, Geldstrafen oder der Beendigung von Genehmigungen für die Kreditkartenverarbeitung führen.
Warum die Verzögerung, und wann soll Version 4.0 veröffentlicht werden?
Die Version 4.0 von PCI DSS sollte ursprünglich im zweiten Quartal 2021 eingeführt werden, wird aber nun im ersten Quartal 2022 veröffentlicht. Der Grund für die Verzögerung ist nicht dramatisch: Der PCI-Rat hat entschieden, dass mehr Feedback zum neuen Standard und seiner Dokumentation benötigt wird. Daraufhin wurde der Zeitplan aktualisiert, um einen erweiterten Request For Comments (RFC)-Prozess zu unterstützen.
Was sind die Änderungen von PCI DSS v3.2.1 zu PCI DSS v4.0?
Während die 12 Kernanforderungen des PCI DSS im Wesentlichen gleich bleiben, sollen die anstehenden Änderungen sicherstellen, dass die Kontodaten ordnungsgemäß geschützt werden und Unternehmen sich über ihre Verantwortlichkeiten bei der Umsetzung im Klaren sind.
Technologien entwickeln sich stetig weiter - und damit ändern sich auch die Angriffstaktiken und die Möglichkeiten von Angreifern, die versuchen, Systeme zu kompromittieren. Die Unterschiede zwischen PCI DSS v3.2.1 und v4.0 sollen daher den Standard an die jüngsten Veränderungen in der Sicherheitsbranche anpassen, die Anforderungen auf einige neue Technologiebereiche ausdehnen und den Unternehmen klare Richtlinien an die Hand geben.
Was bedeutet die Einhaltung von PCI DSS 4.0?
Da der vollständige Standard und die unterstützenden Dokumente noch nicht veröffentlicht wurden, wissen wir bisher nur Folgendes: Der PCI Security Standards Council hat vier Ziele festgelegt, an denen sich die Entwicklung der Version 4.0 orientiert. Diese Ziele sind:
- Sicherstellen, dass der Standard auch weiterhin den Sicherheitsanforderungen der Payment-Branche entspricht.
- Mehr Flexibilität und Unterstützung zusätzlicher Methoden zur Erreichung von Sicherheit.
- Die Unternehmen sollen ermutigt werden, Sicherheit als einen kontinuierlichen Prozess zu betrachten.
- erbesserung der Validierungsmethoden und -verfahren, um sie robuster zu machen.
Die neue Version des PCI DSS wird eine Erweiterung der Anforderungen für sich stetig weiterentwickelnde Sicherheits- und Technologiebereiche beinhalten, darunter Mobiltelefone und Tablets, kontaktlose Zahlungen, Cloud-Anpassung, neue Vorgehensweisen bei der Softwareentwicklung und die zunehmende Abhängigkeit von Dritten.
Ein Zeitplan für PCI DSS v4.0
Nach der Einführung von PCI DSS v4.0 wird eine verlängerte Übergangszeit für Unternehmen vorgesehen, um von PCI DSS v3.2.1 auf PCI DSS v4.0 umzustellen. Der aktuelle PCI DSS v3.2.1 bleibt für 18 Monate aktiv, sobald alle PCI DSS v4.0-Materialien - der Standard, unterstützende Dokumente (einschließlich SAQs, ROCs und AOCs), Schulungen und Programm-Updates - veröffentlicht sind.
Wir werten regelmäßig alle verfügbaren Informationen aus und werden diejenigen, die von den Änderungen am PCI DSS betroffen sind, rechtzeitig informieren. Dafür wird unser Team auch an dem globalen PCI-Community-Treffen im Oktober 2021 teilnehmen.
Wie immer sind wir jeder Aktualisierung der Compliance-Standards weltweit einen Schritt voraus und arbeiten eng mit allen beteiligten Parteien zusammen, um Ihnen, uns und der Welt sicherere Zahlungen zu bieten.
Wie können Sie sich auf diese Änderungen vorbereiten?
Der beste Weg, sich auf die Version 4.0 vorzubereiten, besteht darin, die Anforderungen von PCI DSS 3.2.1 einzuhalten bzw. auf die Einhaltung hinzuarbeiten. Wenn Ihr Unternehmen Kreditkarten akzeptiert, müssen Sie die für Ihr Unternehmen geltenden Anforderungen des PCI DSS umsetzen und Ihre Konformität mit dem PCI DSS jährlich validieren.
Für PCI DSS 3.2.1 können Sie Ihre Konformität wie folgt überprüfen:
- Ausfüllen eines Fragebogens zur Selbstbewertung (Self-Assessment Questionnaire, SAQ). Diese Option können Sie nutzen, wenn Sie weniger als 6 Millionen Transaktionen pro Jahr pro Acquiring-Region verarbeiten.
- Beauftragung eines qualifizierten Sicherheitsgutachters (QSA) mit der Erstellung eines Konformitätsberichts (RoC) für Sie.
Weitere Informationen zu diesen Dokumenten finden Siehier.
Auch wenn sich diese Empfehlungen in den kommenden Monaten noch ändern können, lohnt es sich, schon jetzt erste Grundlagen zu schaffen.
Checkliste für PCI DSS-Anforderungen für 2021
Wir können zwar erst im Laufe des Jahres eine endgültige Checkliste für die Einhaltung von PCI DSS v4.0 vorlegen, aber hier sind einige Best-Practice-Tipps, die Ihnen dabei helfen, alle notwendigen Sicherheitsvorkehrungen zu treffen:
- Verwenden Sie keine voreingestellten Benutzernamen, Kennwörter oder Werkseinstellungen.
- Verwenden Sie sichere Kennwörter und eindeutige Benutzer-IDs. Passwörter mit mindestens 7 Zeichen (numerisch, alphabetisch und Sonderzeichen).
- Halten Sie sich über neue Software-Patches auf dem Laufenden, sobald sie veröffentlicht werden.
Wenn Sie konform sind und die Kontrolle behalten, sind Sie gut gerüstet, um die Anforderungen von PCI DSS v4.0 zu erfüllen. Denken Sie daran, dass Sie sich jederzeit an uns wenden können, wenn Sie Hilfe benötigen. Wir sind bereit, Sie bei diesem Prozess zu unterstützen.
Wie kann Adyen Ihrem Unternehmen helfen, PCI DSS-konform zu bleiben?
Die Anforderungen der PCI DSS-Konformität können schwierig zu erfüllen sein, vor allem, wenn Sie nicht über ein bestehendes System zum Schutz von Kontodaten verfügen. Um den Umfang Ihrer PCI DSS-Compliance zu reduzieren, bieten wir Integrationen an, die die meisten PCI DSS-Anforderungen für Sie übernehmen:
• UnserWeb-Drop-in oder Komponentenzeigen die verfügbaren Karten in Ihrem Zahlungsformular an und sammeln sicher alle Kontodaten und sensiblen Karteninformationen, so dass diese nicht auf Ihrem Server landen.
• Für einePoint-of-Sale-Integrationkönnen Sie unsere standardmäßige End-to-End-Verschlüsselungslösung (E2EE) verwenden.
Abwarten und beobachten
Sie müssen Ihre Kontodaten zwar immer noch sichern, bevor sie uns erreichen, aber wir sind immer für Sie da, um Sie in die richtige Richtung zu lenken. Schauen Sie also in ein paar Monaten wieder hier vorbei, um das nächste Update zu erhalten, oder wenden Sie sich einfach direkt an uns, wenn Sie in der Zwischenzeit Fragen haben.
Guide zur Einhaltung von PCI DSS
Ihre detaillierte Entwicklungsressource für die Einhaltung des PCI DSS.
Zum GuideÜber den Autor:Helen Huyton hilft Händlern bei PCI DSS-bezogenen Themen, mit Fachkenntnis über die Risiken, die mit jeder Integration verbunden sind, wie die Risiken gemindert werden können und welche Validierungsdokumentation erforderlich ist, um PCI-konform zu sein.
Holen Sie sich Payment-News direkt in Ihre Inbox.
Ich bestätige, dass ich die Datenschutzbestimmungen von Adyen gelesen habe und stimme der Verwendung meiner Daten im Einklang damit zu.