PCI DSS v4.0 ist die umfassendste Revision des Standards seit seiner Einführung. Mit 64 neuen Anforderungen und grundlegenden Änderungen am Struktur- und Implementierungsansatz stellt v4 eine erhebliche Herausforderung für Händler dar, die sich auf v3.2.1 eingestellt hatten. Dieser Leitfaden führt durch alle wesentlichen Änderungen und erklärt, was konkret zu tun ist.
Strukturelle Änderungen in PCI DSS v4
Die wichtigste strukturelle Änderung in PCI DSS v4 ist die Einführung des Customized Approach: Neben dem traditionellen „Defined Approach" (Einhaltung der spezifischen Anforderungen) können Unternehmen jetzt nachweisen, wie sie das Sicherheitsziel einer Anforderung durch einen anderen Ansatz erfüllen. Das bietet Flexibilität für cloud-native Architekturen, erfordert aber deutlich mehr Dokumentationsaufwand.
PCI DSS v4 hat auch die Terminologie angepasst: „Firewall" wurde zu „Netzwerksicherheitskontrolle" umbenannt, um moderne Ansätze wie WAF, Mikrosegmentierung und Cloud-Sicherheitsgruppen einzuschließen. „Antivirus" wurde zu „Anti-Malware" erweitert.
Neue Anforderungen nach Bereich
Zahlungsseiten-Sicherheit (Anforderungen 6.4.3, 11.6.1)
Händler müssen alle auf der Zahlungsseite geladenen JavaScript-Skripts inventarisieren und autorisieren. Ein Mechanismus zur Erkennung unautorisierter Änderungen an Zahlungsseiten-Skripts und -Headern muss implementiert werden. Diese Anforderungen gelten auch für SAQ-A-Händler und richten sich gegen Magecart-Skimming-Angriffe.
Multi-Faktor-Authentifizierung (Anforderung 8.4)
MFA ist jetzt für alle nicht-konsolen-basierten Verwaltungszugänge in die CDE verpflichtend, auch für interne Nutzer. v3.2.1 verlangte MFA nur für Remote-Zugriff. Diese Erweiterung betrifft Administratoren, die intern auf CDE-Systeme zugreifen.
Anti-Phishing und E-Mail-Authentifizierung (Anforderungen 5.4.1, 12.5.3)
Händler müssen automatisierte Mechanismen zur Erkennung und zum Schutz von Mitarbeitern vor Phishing-Angriffen implementieren. DMARC-Implementierung ist als Best Practice empfohlen (einige SAQs verlangen sie direkt).
Sicherheitskontroll-Ausfälle (Anforderungen 10.7.2, 10.7.3)
Ausfälle kritischer Sicherheitskontrollen (Firewalls, IDS/IPS, SIEM, Anti-Malware) müssen sofort erkannt und gemeldet werden. Es muss ein formeller Prozess für die Reaktion auf diese Ausfälle vorhanden sein.
Was von v3.2.1 nach v4 geändert wurde: Vergleich
Viele Anforderungen wurden inhaltlich verstärkt oder erweitert:
- Schwachstellenmanagement: Stärkere Anforderungen an Patch-Fristen, besonders für kritische Schwachstellen in CDE-Systemen (max. 1 Monat)
- Zugriffskontrolle: Strengere Anforderungen an das Prinzip der minimalen Rechte und regelmäßige Überprüfung von Zugriffsrechten
- Kryptografie: Explizites Verbot veralteter Protokolle (TLS 1.0, 1.1) und schwacher Algorithmen
- Dienstleister-Management: Jährliche schriftliche Bestätigung der PCI DSS-Verantwortlichkeiten aller Dienstleister
Häufig gestellte Fragen
Wenn ich bereits v3.2.1-konform war, muss ich alles neu implementieren?
Nicht alles. Viele Anforderungen in v4 sind Erweiterungen oder Klarstellungen bereits bestehender Anforderungen. Die genuinen Neuheiten sind hauptsächlich die Zahlungsseiten-Skript-Anforderungen (6.4.3, 11.6.1), die MFA-Erweiterung für alle CDE-Zugriffe, die Phishing-Schutz-Anforderungen und die verstärkten Überwachungsanforderungen. Eine Gap-Analyse gegen v3.2.1 zeigt, was konkret neu implementiert werden muss.
Reduziert Tokenisierung auch die v4-Compliance-Last?
Ja, erheblich. Viele neue v4-Anforderungen (Schwachstellenmanagement, MFA, Protokollierung, Überwachung) gelten nur für CDE-Systeme. Mit einer minimierten CDE durch Tokenisierung entfallen diese Anforderungen für die meisten internen Systeme. Die Anforderungen 6.4.3 und 11.6.1 (Zahlungsseiten-Skripts) gelten auch für SAQ-A-Händler, sind aber wesentlich einfacher zu implementieren als eine vollständige SAQ-D-Compliance.
PCI DSS v4 erfüllen mit minimalem Aufwand: Durch Reduzierung der CDE auf das Nötigste entfallen viele neue Anforderungen aus Ihrem Verantwortungsbereich. PCI Proxy EU entdecken.