PCI DSS

PCI DSS v4.0-wijzigingen en wat ze betekenen voor Europese handelaren

5 januari 2025 5 min lezen PCI Proxy EU

PCI DSS v4.0 werd in het März 2022 veröffentlicht en is sinds April 2024 de einzige gültige Standaard: De Vorgängerversion v3.2.1 is veraltet. PCI DSS v4 bevat64 Nieuwe Vereisten, van deen viele voor 2025 verbindlich worden. Voor Europese Handelaar addiert zich het te lokalen Regulierungsanforderungen (AVG, PSD2) en creëert een de meest complexe Naleving-Landschaften de letzten Jaren.

PCI DSS v4.0-wijzigingen en wat ze betekenen voor Europese handelaren

De belangrijkste Änderungen in PCI DSS v4.0

PCI DSS v4 heeft mehrere Schwerpunkte:

  • Betaalpagina's-Beveiliging (Vereisten 6.4.3 en 11.6.1): Alle JavaScript-Scripts op Betaalpagina's moeten inventarisiert en autorisiert sein. Een Mechanismus naar de Detectie van Skript-Änderungen is Pflicht. Deze Vereisten richten zich tegen Skimming-Aanvallen (Magecart).
  • Multi-factor-authenticatie (MFA): MFA is nu voor Alle Niet-Konsolen-Beheerstoegangen in de CDE verplicht, niet Meer alleen voor Remote-Toegang.
  • Netzwerksicherheitskontrollen: Umgeformte Vereisten voor Firewalls en Netzwerksegmentierung, de cloud-native Architekturen besser berücksichtigen.
  • Kryptografie: Stärkere Vereisten naar de Beheer kryptografischer Sleutel en de Gebruik veralteter Logs.
  • Anti-Phishing (Vereiste 5.4.1): Automatisierte Mechanismen naar de Detectie en naar het Bescherming van Medewerkers voor Phishing-Aanvallen.
  • E-Mail-Beveiliging (Vereiste 5.4.1): DMARC-Implementatie naar de Verhinderung van E-Mail-Spoofing.

PCI DSS v4 en AVG: Überschneidungen voor Europese Handelaar

Europese Handelaar moeten PCI DSS v4 in het Kontext van de al geltenden AVG-Rahmens interpretieren. is Het belangrijke Überschneidungen en Komplementaritäten:

  • Gegevensbescherming-Folgenabschätzung: AVG verlangt een DSFA voor risikoreiche Datenverarbeitungen. PCI DSS v4 heeft ähnliche Risikobewertungsanforderungen gestärkt. De Processen kunnen koordiniert worden.
  • Datenspeicherungsbeschränkungen: Zowel AVG als ook PCI DSS begrenzen de Datenspeicherung. PCI DSS verboten de Opslag van sensiblen Authentifizierungsdaten (CVV, PIN) na de Autorisatie absolut; AVG verlangt Minimalitätsprinzip.
  • Meldung van Datenpannen: AVG verlangt de Meldung van Datenpannen innerhalb van 72 Uren naar de zuständige Datenschutzbehörde. PCI DSS verlangt de Meldung naar Kartennetzwerke en Acquirer. Bij een Kartendatenpanne geldt beides.

Nieuwe Vereisten, de ab 2025 voor Alle Handelaar verbindlich zijn

PCI DSS v4 heeft viele Vereisten als "best practice tot 31. März 2025" klassifiziert: Ab April 2025 zijn u volledig verbindlich. De belangrijkste voor Europese Handelaar:

  • 6.4.3, Autorisatie en Inventarisierung aller Betaalpagina's-Scripts
  • 11.6.1, Mechanismus naar de Detectie van Änderungen naar Betaalpagina's-Header en -Scripts
  • 10.7.2/10.7.3, Directe Reactie op kritische Sicherheitskontroll-Uitval
  • 12.3.2, Jaarlijkse gezielte Risikobewertung voor benutzerdefinierte Anforderungsansätze
  • 12.9.2, Schriftliche Bestätigung de PCI DSS-Verantwortlichkeiten van Dienstleistern

Veelgestelde vragen

Bin ik als SAQ-A-Handelaar van de Nieuwe v4-Vereisten betroffen?

Ja, ook SAQ A werd in v4 met Nieuwe Vereisten (6.4.3 en 11.6.1) aktualisiert. Ook wanneer Uw Betaalpagina volledig van een Drittanbieter gehostet wordt, moeten U sicherstellen, dat geen niet autorisiertes JavaScript op Uw Website geladen wordt, het de Betaalpagina beeinflussen könnte. Deze Vereisten beschermen tegen Aanvallen, de Uw Website (niet de van de Zahlungsanbieters) kompromittieren, om Traffic abzufangen.

Hoe unterscheidet zich de "maßgeschneiderte Implementierungsansatz" van PCI DSS v4?

PCI DSS v4 heeft een "Customized Approach" eingeführt: Bedrijf kunnen nu aantonen, Hoe u het Beveiligingsdoel een Vereiste op een andere Weise erreichen, als de Vereiste vorgibt. Het biedt Meer Flexibiliteit voor innovative Architekturen (z.B. Zero-Trust-Netwerken, cloud-native Deployments), vereist maar een formelle Risikobewertung en Documentatie van de alternativen Ansatzes.

PCI DSS v4 met reduzierten Bereik-Vereisten meistern: Met PCI Proxy EU Tokenisatie fallen viele Nieuwe Vereisten niet op Uw Bedrijf naar, omdat U geen CDE Meer hebben.PCI Proxy EU Ontdekken.

Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Gerelateerde artikelen

Naleving

Hoe u het PCI DSS-bereik verkleint met tokenisatie

Praktische strategieën om het PCI-bereik te verkleinen en te kwalificeren voor eenvoudigere SAQ's.

 Callcenter

MOTO-betalingen en PCI-naleving

Essentiële gids voor callcenters die telefonische betalingen afhandelen.

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.

Neem contact op Hoe het werkt