PCI DSS v4.0 wurde im März 2022 veröffentlicht und ist seit April 2024 der einzige gültige Standard: Die Vorgängerversion v3.2.1 ist veraltet. PCI DSS v4 enthält 64 neue Anforderungen, von denen viele für 2025 verbindlich werden. Für europäische Händler addiert sich das zu lokalen Regulierungsanforderungen (DSGVO, PSD2) und schafft eine der komplexesten Compliance-Landschaften der letzten Jahre.
Die wichtigsten Änderungen in PCI DSS v4.0
PCI DSS v4 hat mehrere Schwerpunkte:
- Zahlungsseiten-Sicherheit (Anforderungen 6.4.3 und 11.6.1): Alle JavaScript-Skripts auf Zahlungsseiten müssen inventarisiert und autorisiert sein. Ein Mechanismus zur Erkennung von Skript-Änderungen ist Pflicht. Diese Anforderungen richten sich gegen Skimming-Angriffe (Magecart).
- Multi-Faktor-Authentifizierung (MFA): MFA ist jetzt für alle Nicht-Konsolen-Verwaltungszugänge in die CDE verpflichtend, nicht mehr nur für Remote-Zugriff.
- Netzwerksicherheitskontrollen: Umgeformte Anforderungen für Firewalls und Netzwerksegmentierung, die cloud-native Architekturen besser berücksichtigen.
- Kryptografie: Stärkere Anforderungen an die Verwaltung kryptografischer Schlüssel und die Verwendung veralteter Protokolle.
- Anti-Phishing (Anforderung 5.4.1): Automatisierte Mechanismen zur Erkennung und zum Schutz von Mitarbeitern vor Phishing-Angriffen.
- E-Mail-Sicherheit (Anforderung 5.4.1): DMARC-Implementierung zur Verhinderung von E-Mail-Spoofing.
PCI DSS v4 und DSGVO: Überschneidungen für europäische Händler
Europäische Händler müssen PCI DSS v4 im Kontext des bereits geltenden DSGVO-Rahmens interpretieren. Es gibt wichtige Überschneidungen und Komplementaritäten:
- Datenschutz-Folgenabschätzung: DSGVO verlangt eine DSFA für risikoreiche Datenverarbeitungen. PCI DSS v4 hat ähnliche Risikobewertungsanforderungen gestärkt. Die Prozesse können koordiniert werden.
- Datenspeicherungsbeschränkungen: Sowohl DSGVO als auch PCI DSS begrenzen die Datenspeicherung. PCI DSS verboten die Speicherung von sensiblen Authentifizierungsdaten (CVV, PIN) nach der Autorisierung absolut; DSGVO verlangt Minimalitätsprinzip.
- Meldung von Datenpannen: DSGVO verlangt die Meldung von Datenpannen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde. PCI DSS verlangt die Meldung an Kartennetzwerke und Acquirer. Bei einer Kartendatenpanne gilt beides.
Neue Anforderungen, die ab 2025 für alle Händler verbindlich sind
PCI DSS v4 hat viele Anforderungen als „Best Practice bis 31. März 2025" klassifiziert: Ab April 2025 sind sie vollständig verbindlich. Die wichtigsten für europäische Händler:
- 6.4.3 – Autorisierung und Inventarisierung aller Zahlungsseiten-Skripts
- 11.6.1 – Mechanismus zur Erkennung von Änderungen an Zahlungsseiten-Header und -Skripts
- 10.7.2/10.7.3 – Sofortige Reaktion auf kritische Sicherheitskontroll-Ausfälle
- 12.3.2 – Jährliche gezielte Risikobewertung für benutzerdefinierte Anforderungsansätze
- 12.9.2 – Schriftliche Bestätigung der PCI DSS-Verantwortlichkeiten von Dienstleistern
Häufig gestellte Fragen
Bin ich als SAQ-A-Händler von den neuen v4-Anforderungen betroffen?
Ja, auch SAQ A wurde in v4 mit neuen Anforderungen (6.4.3 und 11.6.1) aktualisiert. Auch wenn Ihre Zahlungsseite vollständig von einem Drittanbieter gehostet wird, müssen Sie sicherstellen, dass kein nicht autorisiertes JavaScript auf Ihrer Website geladen wird, das die Zahlungsseite beeinflussen könnte. Diese Anforderungen schützen gegen Angriffe, die Ihre Website (nicht die des Zahlungsanbieters) kompromittieren, um Traffic abzufangen.
Wie unterscheidet sich der „maßgeschneiderte Implementierungsansatz" von PCI DSS v4?
PCI DSS v4 hat einen „Customized Approach" eingeführt: Unternehmen können jetzt nachweisen, wie sie das Sicherheitsziel einer Anforderung auf eine andere Weise erreichen, als die Anforderung vorgibt. Das bietet mehr Flexibilität für innovative Architekturen (z.B. Zero-Trust-Netzwerke, cloud-native Deployments), erfordert aber eine formelle Risikobewertung und Dokumentation des alternativen Ansatzes.
PCI DSS v4 mit reduzierten Scope-Anforderungen meistern: Mit PCI Proxy EU Tokenisierung fallen viele neue Anforderungen nicht auf Ihr Unternehmen an, weil Sie keine CDE mehr haben. PCI Proxy EU entdecken.