Was sind die wichtigsten Ă„nderungen in den PCI DSS v4.0 Validierungsdokumenten?

Ă„nderungen in den Validierungsdokumenten fĂĽr PCI DSS v4.0

Wenn Sie die verschlüsselte Lösung von Adyen verwenden, wie z. B. die Integration von Online-Zahlungen oder die Integration von persönlichen Zahlungen, finden Sie im Folgenden die wichtigsten Änderungen in der neuen Version des PCI DSS. Diese Anforderungen gelten für Händler, die Kreditkartenzahlungen akzeptieren und mit PCI DSS Version 4.0 bewertet werden.

SAQ A

  • Anforderungen fĂĽr neue Passwörter und erweiterte Multi-Faktor-Authentifizierung (MFA) (Anforderung 8): Die Multi-Faktor-Authentifizierung wird fĂĽr alle Systemkomponenten dringend empfohlen, um eine zusätzliche Sicherheitsebene zu schaffen, die die Kompromittierung von Kontodaten verhindert. Wenn jedoch keine MFA implementiert ist und Passwort/Passphrase als einzige Anmeldemethode verwendet werden, mĂĽssen Passwort/Passphrase mindestens einmal alle 90 Tage geändert werden. Alternativ dazu können Händler einen benutzerdefinierten Ansatz implementieren, der den Zugang zu Systemkomponenten von Fall zu Fall auf der Grundlage der Sicherheitseinstellungen dieser Konten erlaubt.
  • Sicherheitsbewusstsein (Anforderung 6): Händler sind verpflichtet, sich ĂĽber Warnungen oder Informationen ĂĽber neue SicherheitslĂĽcken von internationalen und lokalen Computer Emergency Response Teams (CERTs) auf dem Laufenden zu halten. 
  • Vierteljährliche externe Schwachstellen-Scans (Anforderung 11): Händler, die E-Commerce-Zahlungen akzeptieren, mĂĽssen mindestens alle drei Monate und nach jeder wesentlichen Ă„nderung in der Zahlungsumgebung externe Schwachstellen-Scans durch vom PCI SSC zugelassene Scanning-Anbieter durchfĂĽhren oder dokumentieren lassen. Während anfangs vier erfolgreiche Scans innerhalb von 12 Monaten nicht erforderlich sind, mĂĽssen in den folgenden Jahren mindestens alle drei Monate erfolgreiche Scans durchgefĂĽhrt werden. Diese Anforderung ist ab sofort gĂĽltig.

SAQ BIP fĂĽr Zahlungen vor Ort (In-Person-Payments, IPP)

  • Sicherheitsupdate fĂĽr IPP-Geräte (Anforderung 6): Wenn der Händler kontrolliert, welche Geräte-Updates installiert werden, mĂĽssen die Sicherheits-Patches je nach Schweregrad und Auswirkung der festgestellten SicherheitslĂĽcke verwaltet und auf dem Zahlungsterminal installiert werden.

SAQ B-IP für MOTO auf IPP-Geräten

  • Sicherheitsupdate fĂĽr IPP-Geräte (Anforderung 6): Wenn der Händler kontrolliert, welche Geräte-Updates installiert werden, mĂĽssen die Sicherheits-Patches je nach Schweregrad und Auswirkung der festgestellten SicherheitslĂĽcke verwaltet und auf dem Zahlungsterminal installiert werden.
  • Zugriffskontrolle (Anforderung 7): Mit dieser Anforderung wird der vorĂĽbergehende Zugriff auf Karteninhaberdaten im MOTO-Zahlungsfluss durch die Stelleneinstufung und Funktion der Mitarbeiter eingeschränkt. Es ist wichtig, dass Personen nur dann Benutzerrechte zugewiesen werden, wenn dies fĂĽr die AusĂĽbung ihrer Tätigkeit erforderlich ist.

SAQ C-VT für MOTO auf IPP-Geräten

  • Zugriffskontrolle (Anforderung 7): Ă„hnlich wie bei MOTO auf IPP-Geräten geht es bei dieser Anforderung fĂĽr MOTO ĂĽber virtuelle Terminals darum, den zeitweiligen Zugriff auf Karteninhaberdaten im MOTO-Zahlungsfluss durch die Stelleneinstufung und Funktion der Mitarbeiter zu beschränken. Es ist wichtig, dass Personen nur dann Benutzerrechte zugewiesen werden, wenn dies fĂĽr die AusĂĽbung ihrer Tätigkeit erforderlich ist.

ZukĂĽnftig datierte Ă„nderungen

Die folgenden Anforderungen gelten bis zum 31. März 2025 als Best Practice und können in der Bewertung des Händlers als „Nicht zutreffend“ eingestuft werden. Sie sind nur bei Bewertungen, die nach diesem Datum durchgeführt werden, vollständig anwendbar. 

SAQ A

  • Neue Passwortanforderung: Im Gegensatz zur Mindestanforderung von 7 Zeichen in Version 3.2.1 wird fĂĽr Systemkomponenten eine Mindestlänge von 12 Zeichen (oder, falls das System keine 12 Zeichen unterstĂĽtzt, eine Mindestlänge von acht Zeichen) verlangt, die sowohl numerische als auch alphabetische Zeichen enthalten.
  • Ăśberwachen Sie die Integrität des Inhalts der Zahlungsseite (Anforderung 6 & 11): Um das Risiko von „Man-in-the-Middle“-Angriffen zu verringern, mĂĽssen die Händler ĂĽber ein Verfahren verfĂĽgen (z. B. einen Mechanismus/eine Technologie zur Erkennung von Ă„nderungen/Verfälschungen), um die Integrität des HTTP-Headers und der Skripte der Zahlungsseite zu ĂĽberwachen/bestätigen. Dies gilt auch fĂĽr Webseiten, die den Inline-Frame/iFrame von Drittanbietern enthalten und auf der Website/Webanwendung des Händlers ausgefĂĽhrt werden. 

Weitere Informationen zum Ăśbergang auf PCI DSS v4.0 finden Sie in Adyens Compliance-Leitfaden zu PCI DSS und in unserem Blogbeitrag zur Compliance mit PCI DSS v4.0.

 

Leitfaden zur PCI-DSS-Compliance

In der Adyen-Dokumentation finden Sie ein hilfreiches Glossar und alle PCI-DSS-Regeln.

Compliance-Leitfaden anzeigen