Was sind die wichtigsten Änderungen in den PCI DSS v4.0 Validierungsdokumenten?

Änderungen in den Validierungsdokumenten für PCI DSS v4.0

Wenn Sie die verschlüsselte Lösung von Adyen verwenden, wie z. B. die Integration von Online-Zahlungen oder die Integration von persönlichen Zahlungen, finden Sie im Folgenden die wichtigsten Änderungen in der neuen Version des PCI DSS. Diese Anforderungen gelten für Händler, die Kreditkartenzahlungen akzeptieren und mit PCI DSS Version 4.0 bewertet werden.

SAQ A

• Anforderungen für neue Passwörter und erweiterte Multi-Faktor-Authentifizierung (MFA) (Anforderung 8): Die Multi-Faktor-Authentifizierung wird für alle Systemkomponenten dringend empfohlen, um eine zusätzliche Sicherheitsebene zu schaffen, die die Kompromittierung von Kontodaten verhindert. Wenn jedoch keine MFA implementiert ist und Passwort/Passphrase als einzige Anmeldemethode verwendet werden, müssen Passwort/Passphrase mindestens einmal alle 90 Tage geändert werden. Alternativ dazu können Händler einen benutzerdefinierten Ansatz implementieren, der den Zugang zu Systemkomponenten von Fall zu Fall auf der Grundlage der Sicherheitseinstellungen dieser Konten erlaubt.
• Sicherheitsbewusstsein (Anforderung 6): Händler sind verpflichtet, sich über Warnungen oder Informationen über neue Sicherheitslücken von internationalen und lokalen Computer Emergency Response Teams (CERTs) auf dem Laufenden zu halten. 
• Vierteljährliche externe Schwachstellen-Scans (Anforderung 11): Händler, die E-Commerce-Zahlungen akzeptieren, müssen mindestens alle drei Monate und nach jeder wesentlichen Änderung in der Zahlungsumgebung externe Schwachstellen-Scans durch vom PCI SSC zugelassene Scanning-Anbieter durchführen oder dokumentieren lassen. Während anfangs vier erfolgreiche Scans innerhalb von 12 Monaten nicht erforderlich sind, müssen in den folgenden Jahren mindestens alle drei Monate erfolgreiche Scans durchgeführt werden. Diese Anforderung ist ab sofort gültig.

SAQ BIP für Zahlungen vor Ort (In-Person-Payments, IPP)

• Sicherheitsupdate für IPP-Geräte (Anforderung 6): Wenn der Händler kontrolliert, welche Geräte-Updates installiert werden, müssen die Sicherheits-Patches je nach Schweregrad und Auswirkung der festgestellten Sicherheitslücke verwaltet und auf dem Zahlungsterminal installiert werden.

SAQ B-IP für MOTO auf IPP-Geräten

• Sicherheitsupdate für IPP-Geräte (Anforderung 6): Wenn der Händler kontrolliert, welche Geräte-Updates installiert werden, müssen die Sicherheits-Patches je nach Schweregrad und Auswirkung der festgestellten Sicherheitslücke verwaltet und auf dem Zahlungsterminal installiert werden.
• Zugriffskontrolle (Anforderung 7): Mit dieser Anforderung wird der vorübergehende Zugriff auf Karteninhaberdaten im MOTO-Zahlungsfluss durch die Stelleneinstufung und Funktion der Mitarbeiter eingeschränkt. Es ist wichtig, dass Personen nur dann Benutzerrechte zugewiesen werden, wenn dies für die Ausübung ihrer Tätigkeit erforderlich ist.

SAQ C-VT für MOTO auf IPP-Geräten

• Zugriffskontrolle (Anforderung 7): Ähnlich wie bei MOTO auf IPP-Geräten geht es bei dieser Anforderung für MOTO über virtuelle Terminals darum, den zeitweiligen Zugriff auf Karteninhaberdaten im MOTO-Zahlungsfluss durch die Stelleneinstufung und Funktion der Mitarbeiter zu beschränken. Es ist wichtig, dass Personen nur dann Benutzerrechte zugewiesen werden, wenn dies für die Ausübung ihrer Tätigkeit erforderlich ist.

Zukünftig datierte Änderungen

Die folgenden Anforderungen gelten bis zum 31. März 2025 als Best Practice und können in der Bewertung des Händlers als „Nicht zutreffend“ eingestuft werden. Sie sind nur bei Bewertungen, die nach diesem Datum durchgeführt werden, vollständig anwendbar. 

SAQ A

• Neue Passwortanforderung: Im Gegensatz zur Mindestanforderung von 7 Zeichen in Version 3.2.1 wird für Systemkomponenten eine Mindestlänge von 12 Zeichen (oder, falls das System keine 12 Zeichen unterstützt, eine Mindestlänge von acht Zeichen) verlangt, die sowohl numerische als auch alphabetische Zeichen enthalten.
• Überwachen Sie die Integrität des Inhalts der Zahlungsseite (Anforderung 6 & 11): Um das Risiko von „Man-in-the-Middle“-Angriffen zu verringern, müssen die Händler über ein Verfahren verfügen (z. B. einen Mechanismus/eine Technologie zur Erkennung von Änderungen/Verfälschungen), um die Integrität des HTTP-Headers und der Skripte der Zahlungsseite zu überwachen/bestätigen. Dies gilt auch für Webseiten, die den Inline-Frame/iFrame von Drittanbietern enthalten und auf der Website/Webanwendung des Händlers ausgeführt werden. 

Weitere Informationen zum Übergang auf PCI DSS v4.0 finden Sie in Adyens Compliance-Leitfaden zu PCI DSS und in unserem Blogbeitrag zur Compliance mit PCI DSS v4.0.