Die Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS) ist eine Reihe von Informationssicherheitsstandards zum Schutz von Zahlungskartendaten der wichtigsten Kartenanbieter (Visa, MasterCard, Discover Financial Services, JCB und American Express). Da sich die Technologie ständig weiterentwickelt und Cyber-Bedrohungen immer ausgefeilter werden, müssen Unternehmen stets die neueste Version des PCI DSS verwenden. PCI DSS 4.0 ist die neueste Standardversion, entwickelt von Rat für Sicherheitsstandards der Zahlungskartenindustrie (PCI SSC). Es baut auf früheren Versionen auf und berücksichtigt Feedback und Erkenntnisse von Interessenvertretern der Branche, Sicherheitsexperten und Aufsichtsbehörden.
Wer muss PCI DSS 4.0 einhalten?
Mit der Expansion des E-Commerce wachsen auch Cloud-Umgebungen und damit auch der Speicherbedarf sensibler Daten – insbesondere sensibler Karteninhaber-, Konto- und Authentifizierungsdaten. Wenn Ihr Unternehmen Kredit-, Debit- oder digitale Kartenzahlungen akzeptiert, ist die sofortige Vorbereitung auf PCI DSS 4.0 unerlässlich.
Lassen Sie uns die neue Version erkunden und alles erfahren, was Sie über PCI v4.0 wissen müssen, die neueste Version des PCI DSS.
Wichtige Compliance-Termine
Das große Update des PCI Data Security Standard ist das erste seit 2018 (Version 3.2.1). Der neue Sicherheitsstandard sorgt für eine sicherere Umgebung für kartenbasierte Zahlungen, geht auf neu auftretende Bedrohungen ein und ermöglicht einzigartige Ansätze zur Bekämpfung neuer Bedrohungen.
Die Frist für Compliance mit der ersten Phase von PCI DSS 4.0 ist 31. März 2024Diese Phase umfasst 13 neue Anforderungen in Bezug auf Planung, Bewertungen und Zuständigkeitszuweisung. Die zweite Phase, bestehend aus 51 hochtechnischen Anforderungen, muss umgesetzt werden von März 2025.
Sofortige Implementierungsänderungen
PCI DSS 4.0 führt grundlegende Änderungen und Aktualisierungen ein, um Sicherheitsmaßnahmen zu stärken und neuen Bedrohungen zu begegnen. Die 13 Anforderungen der ersten Phase konzentrieren sich auf den Aufbau eines Verantwortlichkeitsrahmens für betriebliche Richtlinien.
Festlegen der Verantwortlichkeit
Derzeit betreffen 10 der 13 Anforderungen (2.1.2, 3.1.2, 4.1.2, 5.1.2, 6.1.2, 7.1.2, 8.1.2, 9.1.2, 10.1.2 und 11.1.2) die Identifizierung und Zuweisung von Rollen und Verantwortlichkeiten in Sicherheits- und IT-Teams, die für die PCI-Compliance verantwortlich sind und Behebung von SicherheitsvorfällenDiese Anforderungen gelten ab sofort für alle Bewertungen der Version 4.0 und müssen bis zur Frist am 31. März 2024 erfüllt werden.
Durch die Formalisierung dieser Richtlinien verfügen Unternehmen über eine Dokumentation der Verantwortlichen für bestimmte Aspekte ihrer PCI-Compliance. Dies trägt dazu bei, eine Kultur bewährter Sicherheitspraktiken zu schaffen, die im März 2025 vollständig umgesetzt werden kann.
Anforderung 12.3.2: Maßgeschneiderte Ansätze
Version 4.0 führt die vielfach nachgefragte Option eines „individuellen Ansatzes“ ein, der es Unternehmen ermöglicht, alternative Methoden zu nutzen, um die PCI DSS-Anforderungen zu erfüllen und die gewünschten Ergebnisse zu erzielen.
Dies ist besonders wichtig für Organisationen, die andere regulatorische Rahmenbedingungen einhalten müssen, wie beispielsweise GDPR oder HIPAA, deren Anforderungen sich tendenziell überschneiden. Anforderung 12.3.2 stellt jedoch sicher, dass jeder kundenspezifische Ansatz analysiert und gut dokumentiert wird, um die Wirksamkeit der Implementierung spezifischer Kontrollen zu bestimmen.
Anforderung 12.5.2: PCI DSS-Umfang
Anforderung 12.5.2 schreibt vor, dass Organisationen ihre CDEs und den PCI DSS-Umfang definieren müssen. Diese müssen mindestens alle 12 Monate dokumentiert und bestätigt werden. Dies umfasst die CDEs, die Prozesse, Stakeholder und Technologien, die Karteninhaber- oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.
Anforderung 12.9.2: Hinweis für Dienstanbieter
Eine weitere Anforderung, 12.9.2, gilt nur für Drittanbieter (TPSPs). Diese Anforderung differenziert die Rollen und Verantwortlichkeiten hinsichtlich der Verwaltung des CDE des Kunden durch den TPSP. Der TPSP muss auf Anfrage des Kunden außerdem den Status seiner PCI-DSS-Konformität und Details zu den PCI-DSS-Anforderungen offenlegen.
Best Practices für PCI DSS 4.0
PCI DSS v4.0 enthält über 50 neue Anforderungen. Es ist wichtig zu verstehen, welche Anforderungen für Ihr Unternehmen gelten und welche Voraussetzungen zur Einhaltung der Vorschriften erforderlich sind. Die vollständige Liste der Anforderungen, einschließlich der aktuellen und der ab dem 31. März 2025 geltenden Anforderungen, finden Sie in der Zusammenfassung der Änderungen.
Der PCI-Rat legte den Schwerpunkt auf mehrere neue Standards, darunter die Dokumentation von Verantwortungsanforderungen, die Sicherung von E-Commerce-Firewalls, den Schutz von Zahlungsseiten, die Rotation von Passwörtern, die Ausrichtung auf PCI-Risikoanforderungen, das Scannen auf Schwachstellen, die Verwendung einer Multi-Faktor-Authentifizierung, die Automatisierung von Warnungen aus dem Sicherheitsinformations- und Ereignismanagement (SIEM), Datenverwaltung und Vorfallreaktion.
Wie BigID PCI DSS 4.0 zum Schutz von Kartenzahlungsdaten adressiert
PCI DSS 4.0 stellt einen wichtigen Meilenstein im kontinuierlichen Bemühen um die Sicherung von Zahlungskartendaten und die Bekämpfung von Cyberbedrohungen dar. Durch das Verständnis der grundlegenden Änderungen und Aktualisierungen von PCI DSS 4.0 können Unternehmen ihre Sicherheitsmaßnahmen stärken und die Einhaltung der neuesten Branchenstandards sicherstellen.
BigID unterstützt Sie bei der Einhaltung der PCI DSS 4.0-Anforderungen. Die Einhaltung von PCI DSS beginnt mit der Schaffung einer soliden Grundlage für die Datenermittlung und -klassifizierung von Kontodaten, bestehend aus Karteninhaber- und sensiblen Authentifizierungsdaten. Darüber hinaus unterstützt BigID die meisten im PCI DSS-Framework aufgeführten Datenquellentypen.
Mit BigID können Organisationen:
- Entdecken und klassifizieren alle Arten sensibler Daten und Kontodaten präzise und im großen Maßstab.
- Automatisch identifizieren und erhalten Sie einen detaillierten Kontext zu sensiblen Daten.
- Klassifizierer anpassen um die für Ihr Unternehmen einzigartigen zahlungsbezogenen Daten genau zu identifizieren.
- Verbindung zu über 300 Datenquellentypen über die Cloud und vor Ort – strukturiert, unstrukturiert oder halbstrukturiert.
- Richtlinien festlegen rund um bestimmte Kontodatentypen, die Verschlüsselung, Maskierung, Aufbewahrung, Minimierung und mehr erfordern.
- Erhalten Sie Einblicke in Probleme beim Datenzugriff rund um risikoreiche, sensible oder kritische zahlungsbezogene Daten in Ihren Umgebungen.
- Identifizieren, kennzeichnen, bewerten, und priorisieren Sie das Dateizugriffsrisiko auf vertrauliche, zahlungsbezogene Daten.
- Ordnen Sie die Identitäten der Karteninhaber ihren persönlichen und sensiblen Daten zu und behalten Sie einen zentralen Überblick über die Gefährdung durch Verstöße und die Reaktion auf Vorfälle.
- Minimieren Sie Risiken mit Abhilfe-Workflows, wobei die vollständige Delegierung an die Dateneigentümer erfolgt, um die Angriffsfläche zu verringern und die Daten des Karteninhabers zu schützen.
Beginnen Sie noch heute mit der Einhaltung der PCI DSS-Vorschriften und minimieren Sie Datenrisiken. Fordern Sie eine persönliche Demo an mit unseren Sicherheitsexperten, um BigID in Aktion zu sehen.
Autor
