PCI DSS steht für „Payment Card Industry Data Security Standard“ und wurde entwickelt, um den Schutz von Kreditkartendaten und die Sicherheit von Transaktionen zu gewährleisten. Ziel dabei ist, dass alle beteiligten Unternehmen, die Kreditkartentransaktionen verarbeiten, speichern oder übertragen, angemessene Sicherheitsmaßnahmen ergreifen, um sensible Daten zu schützen. [1]
Der PCI DSS-Standard besteht aus verpflichtenden technischen und organisatorischen Anforderungen, unter anderem zu Netzwerk-Sicherheit, Datenschutz, Schwachstellen-Management sowie Überwachung und Protokollierung von Zugriffen. Er betrifft Einzelhändler, E-Commerce-Websites, Zahlungsdienstleister, Banken, Hotels, Restaurants und andere Organisationen, die Kreditkartenzahlungen akzeptieren. Sowohl große Unternehmen als auch kleine Händler müssen den PCI DSS einhalten, unabhängig von der Anzahl der Transaktionen, die sie verarbeiten. Die Einhaltung des PCI-Standards wird durch regelmäßige Sicherheitsaudits und -prüfungen überwacht.
Was ändert sich mit PCI DSS Version 4.0?
Mit März 2023 wurde die aktualisierte Version 4.0 veröffentlicht. Die Übergangszeit auf diese neue Version endet mit April 2024, ab diesem Zeitpunkt ist die jetzige Version 3.2.1 nicht mehr gültig. Spätestens mit April 2025 müssen alle Unternehmen vollständig der Version 4 entsprechen. [2]
In der aktualisierten Version 4 wird IT-Sicherheit nicht mehr als eher statische Einrichtung betrachtet, sondern als stetiger flexibler Prozess verlangt. Das kann je nach Unternehmen deutliche Auswirkungen nach sich ziehen, wenn ressourcenintensive Prozesse, Dokumentationen und Protokolle regelmäßiger und nachvollziehbar stattfinden müssen. [3] Die geforderte aktive, individuelle Sicherheitsstrategie soll zudem mit eigens angepassten Risikobewertungen und Gegenmaßnahmen ergänzt werden.
Erforderliche Sicherheitsmaßnahmen für PCI DSS 4.0
Abgesehen von der wesentlichen strategischen Neuausrichtung des Sicherheitsthemas finden sich in Version 4 auch Erweiterungen einzelner Maßnahmen. [4] Einige davon sind hoffentlich bereits bei vielen Unternehmen weitgehend adressiert und implementiert:
- Erkennung und Schutz vor Phishing-Angriffen
- Regelmäßige Überprüfung aller Benutzerkonten und Zugriffsberechtigungen
- Zwei-Faktor-Authentifizierung und aktualisierte Passwort-Anforderungen
- Automatisierte Überprüfung von sicherheitsrelevanten Protokollen und Logdaten
- Aktives Schwachstellenmanagement (Scannen nach angreifbaren Diensten)
- Bessere Überwachung der Kommunikation nach Auffälligkeiten von Schadsoftware und Angreifer über NGN-Firewall & IPS-Technologien
Der weiterentwickelte PCI DSS-Standard soll Kreditkartendaten und Transaktionen besser absichern, um die Sicherheit von Kreditkartendaten zu gewährleisten, Endanwender vor Identitätsdiebstahl und Betrug schützen sowie potenzielle Haftungsrisiken bei Datenschutzverletzungen zu minimieren.
Das Update des Standards erfordert, dass sich Unternehmen umfassender als bisher mit IT-Sicherheit auseinandersetzen, und wird daher mit erhöhten Aufwänden einhergehen. Bei Nichteinhaltung müssen Unternehmen mit Strafen, Bußgeldern, dem Verlust von Zahlungsabwicklungsdiensten und dem Vertrauen der Kund*innen rechnen.
Das könnte Sie auch interessieren:
IT-Sicherheitsstrategie zukunftsfit machen
Fokus KMU: In 6 Schritten zu einem zeitgemäßen Cyber Security Management
4 Tipps, um die Cyber Security Awareness in Unternehmen zu stärken
Quellen:
[1] https://www.onlinesicherheit.gv.at/Themen/Experteninformation/Normen-und-Standards/PCI-DSS.html
[2] https://docs-prv.pcisecuritystandards.org/PCI%20DSS/General%20Guidance/PCI-DSS-v4-0-At-a-Glance-r1-DE.pdf?lang=de
[3] https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf
[4] https://www.csoonline.com/article/3678989/pci-dss-4-0-is-coming-how-to-prepare-for-the-looming-changes-to-credit-card-payment-rules.html