PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend werden wird. Damit steht das Sunset Date der Version 4.0 unmittelbar bevor. Was Sie in diesem Zusammenhang beachten müssen und welche Deadlines Sie darüber hinaus noch kennen sollten, haben wir in diesem Blogpost zusammengefasst.
Version 4.0 verabschiedet sich, die Future-dated Requirements bleiben
In Version 4.0 wurden neue Anforderungen eingeführt, von denen einige als „Future-Dated Requirements” eine gesonderte Deadline besitzen: Erst ab dem 01.04.2025 werden diese neuen Anforderungen verpflichtend. Bis dahin wird ihre Umsetzung als Best Practice lediglich empfohlen.
Alles Wissenswerte zu Future-dated Requirements finden Sie in unserem Newsblog:
https://www.usd.de/pci-dss-future-dated-requirements/
und auf unserem YouTube-Channel:
https://www.youtube.com/watch?v=P7zXJSpaToQ&t
Mit 4.0.1 ändert sich nicht wirklich etwas. Oder doch?
In Version 4.0.1 hat das PCI Council Feedback und Rückfragen aus dem Board of Advisors, dem Global Executive Assessor Round Table und führenden teilnehmenden Organisationen einfließen lassen. Dazu wurden besonders die Zielsetzung und Intention hinter bestimmten Requirements präzisiert.
Hat dies Änderungen auf die im Rahmen von 4.0.1 implementierten Maßnahmen? Unsere erfahrenen PCI QSAs haben den Standard genau unter die Lupe genommen und hier die wichtigsten versteckten Neuerungen für Sie zusammengefasst:
Requirement 3.5.1.1
Diese Anforderung schreibt vor, dass gespeicherte PAN unleserlich gemacht werden müssen. Nach PCI DSS v4.0.1 kann dies nun über einen Customized Approach (“Cleartext PAN cannot be determined from hashes of the PAN.”) gelöst werden. Statt der Verwendung von keyed cryptographic hashes können damit auch alternative Lösungen zum Einsatz kommen, die denselben Zweck erfüllen, wie Hashes mit Secret Salts. Wichtig ist, dass alle Key-Management Prozesse weiterhin gelten.
Requirement 3.5.1.2
Diese Anforderung besagt, dass eine Verschlüsselung von PANs auf Festplatten- oder Partitions-Ebene, außer bei Wechseldatenträgern, nicht zulässig ist. Ein neuer Customized Approach erlaubt nun alternative Methoden, die vorher nicht möglich waren. Zudem müssen alle Verschlüsselungsverfahren, die PANs ohne vorherige Authentifizierung im Klartext anzeigen, den neuen Anforderungen entsprechen.
Requirement 8.4.2
Requirement 8.4.2, neu in PCI DSS v4.0, verlangt Multi-Faktor-Authentifizierung für jeden Zugriff auf die Karteninhaberdatenumgebung (CDE), während dies zuvor nur für administrative Zugriffe galt. Version 4.0.1 spezifiziert, dass dies nicht für Zugriffe per Konsole gilt und dass die Anforderung entfällt, wenn Phishing-resistente Authentifizierungsfaktoren wie FIDO2 verwendet werden.
Requirement 6.3.3
Requirement 6.3.3 (Version 4.0.1) legt fest, dass Updates für kritisch eingestufte Schwachstellen innerhalb eines Monats eingespielt werden müssen. In Version 4.0 galt diese Frist sowohl für hoch als auch für kritisch eingestufte Schwachstellen.
Requirement 9.3.4
Die neue Regelung zur physischen Sicherheit verlangt separate Besucherprotokolle für Einrichtungen und sensible Bereiche, die Kreditkartendaten speichern. Zuvor war nur ein gemeinsames Protokoll erforderlich. Beispielsweise muss ein Besucherprotokoll sowohl für den Eintritt in ein Gebäude als auch für den Zugang zu einem Serverraum geführt werden, falls dort Kreditkartendaten gespeichert sind.
Benötigen Sie Hilfe bei der Vorbereitung auf oder Umsetzung von PCI DSS v4.0.1 in Ihrem Unternehmen? Sprechen Sie uns an – unsere Expert*innen sind für Sie da.
