Informationen für Kunden des S-Händlerservice zum Wechsel der PCI DSS Anforderungen von Version 3.2.1 nach Version 4.0 im Überblick

 

Am 31.03.2022 veröffentlichte das PCI Security Standards Council (PCI SSC) Version 4.0 des PCI DSS (Payment Card Industry Data Security Standard). Seit dem 31.03.2024 hat die PCI DSS Version 4.0 die bisherige Version 3.2.1 vollständig abgelöst.

Dies bedeutet beispielsweise, dass ein am 30.03.2024 anerkannter PCI Konformitätsnachweis nach Version 3.2.1 ein Jahr gültig ist und die Erneuerung des Nachweises bis zum 30.03.2025 in der Version 4.0 vorliegen muss.

 

Die PCI DSS nachweispflichtigen Unternehmen definieren sich beim S-Händlerservice aktuell weiterhin wie folgt:

  • Alle E-Commerce Händler 

  • Alle Verträge mit Unternehmen im PCI Level 1 und 2
    (Level 1 und 2 Händler definieren sich über mehr als 1 Million Transaktionseinreichungen p.a. bei VISA oder Mastercard und/oder speichern, verarbeiten oder übertragen Kartenzahlungsdaten.Ein Level 1 Händler hat mehr als 6 Millionen Transaktionen pro Jahr.)

Was ändert sich mit Version 4.0 allgemein?

  • ·    Version 4.0 bietet zusätzliche Leitlinien, Definitionen und Klarstellungen, sowie Änderungen an Struktur und Format der PCI DSS Dokumente. Dies soll das Verständnis und die Umsetzung der Anforderungen erleichtern.

  • Die neue Version enthält detailliertere Leitlinien zu Themen wie Anwendungsbereich, Umgang mit verschlüsselten Daten, Stichprobenverfahren, Definition von Zeitrahmen und die Einbeziehung von Drittanbietern.

  • PCI DSS Version 4.0 beinhaltet neue Sicherheitsanforderungen, während einige bestehende Anforderungen entfernt oder zusammengefasst wurden, um sie an die aktuellen Bedrohungslandschaft anzupassen.

Wenn Kartenzahlungen vollständig an einen PCI DSS-konformen Zahlungsdienstleister ausgelagert werden, reduziert sich Ihr Aufwand für die PCI DSS Compliance deutlich und in den meisten Fällen kann der "kleine" SAQ A (Fragebogen) angewendet werden.

Zusätzliche Anforderungen gelten jedoch für Webserver von Händlern, die die Zahlungsseite (Payment Page) mit einem URL-Redirect oder per iFrame einbinden und somit die Eingabe der Kartendaten an einen PCI DSS-zertifizierten Dienstleister auslagern. Diese Händler hosten zwar nicht die Zahlungsdaten selbst, aber die Anbindung der Zahlungsseite erfordert zusätzliche Sicherheitsmaßnahmen.

Einige wichtige neue Anforderungen im SAQ (Self Assessment Questionaire):

Anforderung
Erklärung
Anforderung

Anforderung 6.3.1

Erklärung

Ermittelte neue/kritische Sicherheitsschwachstellen sind vom Unternehmen (Händler) einer Risikoeinstufung nach „Industry Best Practice“ zu klassifizieren und die Auswirkungen sind zu dokumentieren.

Anforderung

Anforderung 11.3.2

Erklärung

Externe Schwachstellenscans müssen durch einen akkreditierten ASV (Approved Scanning Vendor = für Sicherheitsscans zugelassene Security Unternehmen) mindestens einmal alle 3 Monate durchgeführt werden.

Anforderung

Anforderung 8.4.2

Erklärung

Die Multi-Faktor Authentifizierung ist für Personen mit Zugriff auf die Systeme mit Kartendaten verpflichtend (SAQ A-EP).
Verpflichtend ab 01.04.2025

Anforderung

Anforderung 8.3.6

Erklärung

Passwörter müssen mindestens 12 Stellen (alphanumerisch) lang sein um die Benutzerkonten besser zu schützen.
Verpflichtend ab 01.04.2025

 

Mit Version 4.0 wird die Anforderung zur Durchführung von externen Schwachstellenscans für SAQ A verpflichtend.

Grund dafür ist, dass der PCI-Prüfumfang auf die Sicherheit der Checkout-Seite (Payment Page) im Webshop erweitert wurde, auch wenn die eigentliche Zahlungsverarbeitung an einen PCI DSS-zertifizierten Dienstleister ausgelagert ist. Da diese Checkout-Seiten zunehmend Ziel von Angriffen durch Web-Skimming und unsichere Skripte werden, ist es nun erforderlich, die Sicherheit des "Absprungpunkts" zur Zahlungsabwicklung regelmäßig zu überprüfen.

Empfehlung an Unternehmen/Händler/Kunden:


Schließen Sie einen Vertrag mit einem zugelassenen Security-Dienstleistungsunternehmen für externe Schwachstellenscans (ASV = Approved Scanning Vendor) ab, wie z. B. unser Security-Partner VikingCloud.

PCI 4.0 fordert mehr Sicherheit rund um Bezahlseiten


Was versteht man unter einer Payment Page?
Der Definition nach handelt es sich um ein Webformular (Eingabemaske), in das der Karteninhaber die vollständige Kartennummer (PAN) einträgt.

Was versteht man unter Payment Page Skripten?
In PCI Version 4.0 ist die Sicherheit von Skripten auf der Bezahlseite (Payment Page) noch wichtiger. Diese Skripte sind Code-Schnipsel, die auf der Bezahlseite eingebunden sind und Funktionen wie die Generierung von iFrames, die Steuerung von Redirects oder die Prüfung der Karteneingabe übernehmen. Sie können vom Händler selbst, dem Payment Service Provider oder von Drittanbietern stammen. Beispiele hierfür wären Tracking-Skripte, oder Skripte, die Fehler auf der Seite beheben.

Das Problem: Angreifer können diese Skripte manipulieren, um bösartigen Code einzuschleusen und Kartendaten abzufangen (z. B. durch Web-Skimming).

Wie schützt man Payment Page Skripte?
Wie bereits erwähnt, stellen Payment Page Skripte ein Sicherheitsrisiko dar. Um dieses Risiko zu minimieren, müssen folgende Anforderungen erfüllt sein (PCI DSS 4.0):

Anforderung
Erklärung
Anforderung

Anforderung 6.4.3

Erklärung

Es wird vorgeschrieben, dass nur absolut notwendige Skripte auf der Payment Page ausgeführt werden sollen. Um eine sichere Verwaltung zu gewährleisten, ist es erforderlich, dass die Skripte inventarisiert, autorisiert und auf Integrität geprüft werden. Für jedes Skript muss zusätzlich begründet werden, warum es auf der Payment Page eingebunden wird.

Anforderung

Anforderung 11.6.1

Erklärung

Es wird ein Verfahren gefordert, welches unautorisiert vollzogene Änderungen am Inhalt der Payment Page und/oder des http-Headers frühzeitig erkennt. Um das Ziel zu erreichen, muss die Prüfung periodisch erfolgen. Bei Auffälligkeiten muss zeitgleich automatisiert ein Alarm beim Händler/Service Provider eingehen.

Empfehlung an Unternehmen/Händler/Kunden:
Minimieren Sie die Anzahl der Skripte auf Ihrer Bezahlseite

  • Verwenden Sie nur Skripte, die unbedingt für die Funktion Ihrer Bezahlseite erforderlich sind und deren Zweck Sie vollständig verstehen.

  • Stellen Sie sicher, dass keine unnötigen Skripte ohne vorherige Genehmigung durch das Management hinzugefügt werden.

Unsere Kontaktdaten finden Sie in den E-Mails, die wir Ihnen unter der Adresse notifications@worldline-pciportal.com zusenden.