Ab dem 31. März 2025 sind alle Anforderungen aus PCI DSS v4.0 vollständig verbindlich, einschließlich der Anforderungen, die bisher als „Best Practice" klassifiziert waren. Für Händler, die sich auf v3.2.1 vorbereitet hatten oder die Übergangsfrist nicht vollständig genutzt haben, ist jetzt der Zeitpunkt für eine Compliance-Überprüfung. Dieser Artikel erklärt, was konkret ab 2025 gilt und was zu tun ist.
Was ab April 2025 neu verbindlich ist
PCI DSS v4 hat viele Anforderungen mit dem Hinweis „Best Practice bis 31. März 2025" versehen, nach dem Datum vollständig verbindlich. Die wichtigsten neuen verbindlichen Anforderungen für Händler:
- 6.4.3 – Zahlungsseiten-Skript-Autorisierung: Alle auf der Zahlungsseite geladenen JavaScript-Skripts müssen inventarisiert und von autorisiertem Personal genehmigt sein. Verbindlich für alle Händler mit Zahlungsseiten, einschließlich SAQ-A-Händler.
- 11.6.1 – Skript-Änderungserkennung: Implementierung eines Mechanismus zur Erkennung von Änderungen an HTTP-Headern und Skripts auf Zahlungsseiten. Kann durch Echtzeit-Monitoring-Tools oder regelmäßige Überprüfungen implementiert werden.
- 10.7.2 / 10.7.3 – Sicherheitskontroll-Ausfallerkennung: Systeme zur Erkennung und Reaktion auf Ausfälle kritischer Sicherheitskontrollen (Firewalls, IDS/IPS, SIEM, Anti-Malware).
- 5.4.1 – Phishing-Schutz-Mechanismen: Automatisierte Mechanismen zum Schutz von Mitarbeitern vor Phishing-Angriffen.
- 12.3.4 – Hardware- und Software-Technologien-Review: Jährliche Überprüfung der eingesetzten Technologien auf Sicherheitsrisiken und Auslaufdaten.
Compliance-Programm für 2025 aktualisieren
Ein strukturierter Ansatz zur Aktualisierung des Compliance-Programms für PCI DSS v4 umfasst folgende Schritte:
- Gap-Analyse: Vergleich des aktuellen Sicherheitsprogramms mit den neuen PCI DSS v4-Anforderungen, insbesondere den ab April 2025 verbindlichen.
- Zahlungsseiten-Audit: Überprüfung aller Zahlungsseiten auf Script-Inventory und Änderungserkennungs-Mechanismen (Anforderungen 6.4.3 und 11.6.1).
- MFA-Überprüfung: Sicherstellung, dass MFA für alle administrativen CDE-Zugriffe aktiviert ist, nicht nur für Remote-Zugriff.
- Dokumentations-Update: Aktualisierung der Netzwerkdiagramme, Datenflusskarten, Richtlinien und Verfahren auf v4-Standards.
- Dienstleister-Bestätigungen: Einholung der jährlichen schriftlichen Bestätigung der PCI DSS-Verantwortlichkeiten von allen Dienstleistern (Anforderung 12.9.2).
Die Scope-Reduzierungsstrategie für 2025
Die effizienteste Reaktion auf die wachsende Zahl von PCI DSS v4-Anforderungen ist nicht die Implementierung neuer Kontrollen für alle bestehenden Systeme, sondern die Reduzierung der CDE, die diesen Kontrollen unterliegt. Mit einer tokenisierten Architektur:
- Entfällt die MFA-Anforderung für CDE-Zugriff für die meisten internen Server (keine CDE mehr)
- Entfällt das Schwachstellenmanagement-Programm für CDE-Systeme (keine CDE mehr)
- Entfällt der jährliche Pen Test auf die CDE (keine eigene CDE mehr)
- Bleiben nur die Zahlungsseiten-Anforderungen (6.4.3, 11.6.1) und die SAQ-A-Dokumentation
Häufig gestellte Fragen
Was ist, wenn mein QSA bereits eine v3.2.1-Bewertung für 2024 durchgeführt hat?
PCI DSS v3.2.1 verlor seine Gültigkeit am 31. März 2024. Bewertungen, die nach diesem Datum durchgeführt wurden, müssen nach PCI DSS v4.0 erfolgen. Wenn Ihr QSA eine Bewertung nach v3.2.1 nach diesem Datum durchgeführt hat, ist diese Bewertung für PCI DSS-Compliance-Zwecke nicht gültig. Für die neue Bewertungsperiode (nach April 2024) muss v4 angewendet werden, einschließlich der neuen Anforderungen.
Gelten die neuen Anforderungen auch für bestehende SAQ-Einreichungen?
Ja. Die aktuellen SAQ-Formulare für v4 enthalten die neuen Anforderungen. Wenn Sie Ihr nächstes jährliches SAQ einreichen, müssen Sie das v4-Formular verwenden und alle darin enthaltenen Anforderungen bestätigen, einschließlich der ab April 2025 verbindlichen. Es gibt keine Grandfathering-Ausnahmen für die neuen Anforderungen.
PCI DSS v4 in 2025 konform bleiben: Mit PCI Proxy EU Tokenisierung minimieren Sie die Zahl der Anforderungen, die Ihr Team implementieren und überwachen muss. PCI Proxy EU entdecken.