PCI DSS 4.0: Sichere Kartenzahlung nach dem aktuellen Security Standard

21. Juni, 2023

PCI DSS steht für „Payment Card Industry Data Security Standard“ und wurde entwickelt, um den Schutz von Kreditkartendaten und die Sicherheit von Transaktionen zu gewährleisten. Ziel dabei ist, dass alle beteiligten Unternehmen, die Kreditkartentransaktionen verarbeiten, speichern oder übertragen, angemessene Sicherheitsmaßnahmen ergreifen, um sensible Daten zu schützen. [1]

Der PCI DSS-Standard besteht aus verpflichtenden technischen und organisatorischen Anforderungen, unter anderem zu Netzwerk-Sicherheit, Datenschutz, Schwachstellen-Management sowie Überwachung und Protokollierung von Zugriffen. Er betrifft Einzelhändler, E-Commerce-Websites, Zahlungsdienstleister, Banken, Hotels, Restaurants und andere Organisationen, die Kreditkartenzahlungen akzeptieren. Sowohl große Unternehmen als auch kleine Händler müssen den PCI DSS einhalten, unabhängig von der Anzahl der Transaktionen, die sie verarbeiten. Die Einhaltung des PCI-Standards wird durch regelmäßige Sicherheitsaudits und -prüfungen überwacht.

Was ändert sich mit PCI DSS Version 4.0?

Mit März 2023 wurde die aktualisierte Version 4.0 veröffentlicht. Die Übergangszeit auf diese neue Version endet mit April 2024, ab diesem Zeitpunkt ist die jetzige Version 3.2.1 nicht mehr gültig. Spätestens mit April 2025 müssen alle Unternehmen vollständig der Version 4 entsprechen. [2]

In der aktualisierten Version 4 wird IT-Sicherheit nicht mehr als eher statische Einrichtung betrachtet, sondern als stetiger flexibler Prozess verlangt. Das kann je nach Unternehmen deutliche Auswirkungen nach sich ziehen, wenn ressourcenintensive Prozesse, Dokumentationen und Protokolle regelmäßiger und nachvollziehbar stattfinden müssen. [3] Die geforderte aktive, individuelle Sicherheitsstrategie soll zudem mit eigens angepassten Risikobewertungen und Gegenmaßnahmen ergänzt werden.

Erforderliche Sicherheitsmaßnahmen für PCI DSS 4.0

Abgesehen von der wesentlichen strategischen Neuausrichtung des Sicherheitsthemas finden sich in Version 4 auch Erweiterungen einzelner Maßnahmen. [4] Einige davon sind hoffentlich bereits bei vielen Unternehmen weitgehend adressiert und implementiert:

  • Erkennung und Schutz vor Phishing-Angriffen
  • Regelmäßige Überprüfung aller Benutzerkonten und Zugriffsberechtigungen
  • Zwei-Faktor-Authentifizierung und aktualisierte Passwort-Anforderungen
  • Automatisierte Überprüfung von sicherheitsrelevanten Protokollen und Logdaten
  • Aktives Schwachstellenmanagement (Scannen nach angreifbaren Diensten)
  • Bessere Überwachung der Kommunikation nach Auffälligkeiten von Schadsoftware und Angreifer über NGN-Firewall & IPS-Technologien

Der weiterentwickelte PCI DSS-Standard soll Kreditkartendaten und Transaktionen besser absichern, um die Sicherheit von Kreditkartendaten zu gewährleisten, Endanwender vor Identitätsdiebstahl und Betrug schützen sowie potenzielle Haftungsrisiken bei Datenschutzverletzungen zu minimieren.

Das Update des Standards erfordert, dass sich Unternehmen umfassender als bisher mit IT-Sicherheit auseinandersetzen, und wird daher mit erhöhten Aufwänden einhergehen. Bei Nichteinhaltung müssen Unternehmen mit Strafen, Bußgeldern, dem Verlust von Zahlungsabwicklungsdiensten und dem Vertrauen der Kund*innen rechnen.

Das könnte Sie auch interessieren:

IT-Sicherheitsstrategie zukunftsfit machen
Fokus KMU: In 6 Schritten zu einem zeitgemäßen Cyber Security Management
4 Tipps, um die Cyber Security Awareness in Unternehmen zu stärken

Quellen:
[1] https://www.onlinesicherheit.gv.at/Themen/Experteninformation/Normen-und-Standards/PCI-DSS.html
[2] https://docs-prv.pcisecuritystandards.org/PCI%20DSS/General%20Guidance/PCI-DSS-v4-0-At-a-Glance-r1-DE.pdf?lang=de
[3] https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf
[4] https://www.csoonline.com/article/3678989/pci-dss-4-0-is-coming-how-to-prepare-for-the-looming-changes-to-credit-card-payment-rules.html

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download