PCI DSS 4.0 | Sparkassen-Händlerservice

Am 31.03.2022 veröffentlichte das PCI Security Standards Council (PCI SSC) Version 4.0 des PCI DSS (Payment Card Industry Data Security Standard). Seit dem 31.03.2024 hat die PCI DSS Version 4.0 die bisherige Version 3.2.1 vollständig abgelöst.

Dies bedeutet beispielsweise, dass ein am 30.03.2024 anerkannter PCI Konformitätsnachweis nach Version 3.2.1 ein Jahr gültig ist und die Erneuerung des Nachweises bis zum 30.03.2025 in der Version 4.0 vorliegen muss.

Die PCI DSS nachweispflichtigen Unternehmen definieren sich beim S-Händlerservice aktuell weiterhin wie folgt:

Alle E-Commerce Händler
Alle Verträge mit Unternehmen im PCI Level 1 und 2
(Level 1 und 2 Händler definieren sich über mehr als 1 Million Transaktionseinreichungen p.a. bei VISA oder Mastercard und/oder speichern, verarbeiten oder übertragen Kartenzahlungsdaten.Ein Level 1 Händler hat mehr als 6 Millionen Transaktionen pro Jahr.)

Was ändert sich mit Version 4.0 allgemein?

· Version 4.0 bietet zusätzliche Leitlinien, Definitionen und Klarstellungen, sowie Änderungen an Struktur und Format der PCI DSS Dokumente. Dies soll das Verständnis und die Umsetzung der Anforderungen erleichtern.
Die neue Version enthält detailliertere Leitlinien zu Themen wie Anwendungsbereich, Umgang mit verschlüsselten Daten, Stichprobenverfahren, Definition von Zeitrahmen und die Einbeziehung von Drittanbietern.
PCI DSS Version 4.0 beinhaltet neue Sicherheitsanforderungen, während einige bestehende Anforderungen entfernt oder zusammengefasst wurden, um sie an die aktuellen Bedrohungslandschaft anzupassen.

Informationen für E-Commerce-Händler

Informationen für POS-Händler

Wenn Kartenzahlungen vollständig an einen PCI DSS-konformen Zahlungsdienstleister ausgelagert werden, reduziert sich Ihr Aufwand für die PCI DSS Compliance deutlich und in den meisten Fällen kann der "kleine" SAQ A (Fragebogen) angewendet werden.

Zusätzliche Anforderungen gelten jedoch für Webserver von Händlern, die die Zahlungsseite (Payment Page) mit einem URL-Redirect oder per iFrame einbinden und somit die Eingabe der Kartendaten an einen PCI DSS-zertifizierten Dienstleister auslagern. Diese Händler hosten zwar nicht die Zahlungsdaten selbst, aber die Anbindung der Zahlungsseite erfordert zusätzliche Sicherheitsmaßnahmen.

Anforderung	Erklärung
Anforderung 6.3.1	Ermittelte neue/kritische Sicherheitsschwachstellen sind vom Unternehmen (Händler) einer Risikoeinstufung nach „Industry Best Practice“ zu klassifizieren und die Auswirkungen sind zu dokumentieren.
Anforderung 11.3.2	Externe Schwachstellenscans müssen durch einen akkreditierten ASV (Approved Scanning Vendor = für Sicherheitsscans zugelassene Security Unternehmen) mindestens einmal alle 3 Monate durchgeführt werden.
Anforderung 8.4.2	Die Multi-Faktor Authentifizierung ist für Personen mit Zugriff auf die Systeme mit Kartendaten verpflichtend (SAQ A-EP). Verpflichtend ab 01.04.2025
Anforderung 8.3.6	Passwörter müssen mindestens 12 Stellen (alphanumerisch) lang sein um die Benutzerkonten besser zu schützen. Verpflichtend ab 01.04.2025

Mit Version 4.0 wird die Anforderung zur Durchführung von externen Schwachstellenscans für SAQ A verpflichtend.

Grund dafür ist, dass der PCI-Prüfumfang auf die Sicherheit der Checkout-Seite (Payment Page) im Webshop erweitert wurde, auch wenn die eigentliche Zahlungsverarbeitung an einen PCI DSS-zertifizierten Dienstleister ausgelagert ist. Da diese Checkout-Seiten zunehmend Ziel von Angriffen durch Web-Skimming und unsichere Skripte werden, ist es nun erforderlich, die Sicherheit des "Absprungpunkts" zur Zahlungsabwicklung regelmäßig zu überprüfen.

Schließen Sie einen Vertrag mit einem zugelassenen Security-Dienstleistungsunternehmen für externe Schwachstellenscans (ASV = Approved Scanning Vendor) ab, wie z. B. unser Security-Partner VikingCloud.

Was versteht man unter einer Payment Page?
Der Definition nach handelt es sich um ein Webformular (Eingabemaske), in das der Karteninhaber die vollständige Kartennummer (PAN) einträgt.

Was versteht man unter Payment Page Skripten?
In PCI Version 4.0 ist die Sicherheit von Skripten auf der Bezahlseite (Payment Page) noch wichtiger. Diese Skripte sind Code-Schnipsel, die auf der Bezahlseite eingebunden sind und Funktionen wie die Generierung von iFrames, die Steuerung von Redirects oder die Prüfung der Karteneingabe übernehmen. Sie können vom Händler selbst, dem Payment Service Provider oder von Drittanbietern stammen. Beispiele hierfür wären Tracking-Skripte, oder Skripte, die Fehler auf der Seite beheben.

Das Problem: Angreifer können diese Skripte manipulieren, um bösartigen Code einzuschleusen und Kartendaten abzufangen (z. B. durch Web-Skimming).

Wie schützt man Payment Page Skripte?
Wie bereits erwähnt, stellen Payment Page Skripte ein Sicherheitsrisiko dar. Um dieses Risiko zu minimieren, müssen folgende Anforderungen erfüllt sein (PCI DSS 4.0):

Anforderung	Erklärung
Anforderung 6.4.3	Es wird vorgeschrieben, dass nur absolut notwendige Skripte auf der Payment Page ausgeführt werden sollen. Um eine sichere Verwaltung zu gewährleisten, ist es erforderlich, dass die Skripte inventarisiert, autorisiert und auf Integrität geprüft werden. Für jedes Skript muss zusätzlich begründet werden, warum es auf der Payment Page eingebunden wird.
Anforderung 11.6.1	Es wird ein Verfahren gefordert, welches unautorisiert vollzogene Änderungen am Inhalt der Payment Page und/oder des http-Headers frühzeitig erkennt. Um das Ziel zu erreichen, muss die Prüfung periodisch erfolgen. Bei Auffälligkeiten muss zeitgleich automatisiert ein Alarm beim Händler/Service Provider eingehen.

Minimieren Sie die Anzahl der Skripte auf Ihrer Bezahlseite

Verwenden Sie nur Skripte, die unbedingt für die Funktion Ihrer Bezahlseite erforderlich sind und deren Zweck Sie vollständig verstehen.
Stellen Sie sicher, dass keine unnötigen Skripte ohne vorherige Genehmigung durch das Management hinzugefügt werden.

Unsere Kontaktdaten finden Sie in den E-Mails, die wir Ihnen unter der Adresse notifications@worldline-pciportal.com zusenden.

Anforderung:	Erklärung:
Anforderung 4.2.1	Starke Kryptographie und Sicherheitsprotokolle müssen implementiert werden, um die PAN (Primary Account Number) während der Übertragung über offene, öffentliche Netzwerke zu schützen.
Anforderung 5.3.3	Wenn elektronische, wechselbare Medien verwendet werden, müssen automatische Scans durchgeführt werden, sobald der Datenträger eingelegt, verbunden oder logisch integriert wird ODER eine kontinuierliche Verhaltensanalyse von Systemen oder Prozessen durchgeführt wird, wenn die Diskette eingelegt, verbunden oder logisch eingebunden ist.
Anforderung 5.4.1	Es müssen Verfahren und automatische Mechanismen eingerichtet werden, um Phishing-Angriffe zu erkennen und Mitarbeiter davor zu schützen.
Anforderung 7.2.4	Alle Benutzerkonten und zugehörigen Zugriffsrechte, einschließlich Konten von Drittanbietern/Lieferanten, müssen mindestens alle sechs Monate überprüft werden, um sicherzustellen, dass Benutzerkonten und Zugriffe für die jeweilige Funktion angemessen sind.
Anforderung 8.3.6	Passwörter als Authentifizierungsfaktoren müssen ein Mindestmaß an Komplexität aufweisen: Eine Mindestlänge von 12 alphanumerischen Zeichen (oder, wenn das System keine 12 Zeichen unterstützt, eine Mindestlänge von acht Zeichen).

Schaffen Sie Transparenz in Ihren PCI-Prozessen, z. B. durch:

Erstellen und aktualisieren Sie Netzwerk- und Datenflussdiagramme: Hilft Ihnen, den Überblick über Ihre Daten zu behalten.
Unterscheidung von CDE*- und Nicht-CDE-Systemen im Unternehmen. Verwenden Sie eine CMDB (Configuration Management Data Base) und kennzeichnen Sie Systemkomponenten als "PCI CDE" oder "PCI nicht-CDE". Aktualisieren Sie die CMDB im Rahmen des Change Management-Prozesses. Erstellen Sie bei Bedarf Scope-Listen.
Identifizieren Sie alle Verbindungen von Drittanbietern mit Zugriff auf die CDE*: Um sicherzustellen, dass nur autorisierte Partner Zugriff haben.

*CDE „Card Data Environment“ (Karten-Daten-Umgebung) (Diejenige IT Umgebung in der möglicherweise Kartendaten gespeichert oder verarbeitet werden. Diese Umgebung(en) sind von anderen IT Umgebungen z. B. mittels Firewall zu segmentieren.)

Unsere Kontaktdaten finden Sie in den E-Mails, die wir Ihnen unter der Adresse notifications@worldline-pciportal.com zusenden.

Informationen für Kunden des S-Händlerservice zum Wechsel der PCI DSS Anforderungen von Version 3.2.1 nach Version 4.0 im Überblick

Die PCI DSS nachweispflichtigen Unternehmen definieren sich beim S-Händlerservice aktuell weiterhin wie folgt:

Was ändert sich mit Version 4.0 allgemein?

Einige wichtige neue Anforderungen im SAQ (Self Assessment Questionaire):

Empfehlung an Unternehmen/Händler/Kunden:

PCI 4.0 fordert mehr Sicherheit rund um Bezahlseiten

Empfehlung an Unternehmen/Händler/Kunden:

Minimieren Sie die Anzahl der Skripte auf Ihrer Bezahlseite

Auszugsweise neue Anforderungen (je nach SAQ TYP):

Schaffen Sie Transparenz in Ihren PCI-Prozessen, z. B. durch: