Das PCI Security Standards Council hat für die erste Jahreshälfte 2016 ein außerplanmäßiges Update des PCI DSS Standards angekündigt. Die Version PCI DSS 3.2 wird voraussichtlich im März/April veröffentlicht werden, die für Herbst 2016 vorgesehene Version 4.0 entfällt dadurch.
Zur Begründung des vorgezogenen Releases wird angegeben, dass die im Dezember angekündigte Verlängerung der Übergangsfrist für SSL/early TLS in den Standard eingebaut werden muss. Im April vergangen Jahres hatte das Council ein außerplanmäßiges Update auf PCI DSS 3.1 heraus gegeben, in dem eine Übergansfrist bis Juni 2016 festgelegt war. Diese Frist wird nun um 2 Jahre verlängert.
Es wird erwartet, dass es zukünftig nicht mehr wie bisher alle drei Jahre ein Major Release des PCI DSS geben wird. Der Standard gilt als gereift, signifikante Änderungen sind nicht mehr zu erwarten. Das Council will sich in Zukunft verstärkt der Sicherheit von neuen Bezahlkanälen wie Mobile Payment widmen.
In der Version 3.2 werden noch weitere Neuerungen erwartet. Genannt wurden als mögliche Themen eine Multi-Faktor Authentisierung für Administratoren, Klarstellungen zur Maskierung von PANs und einige der DESV Anforderungen für Service Provider. Hier sind allerdings lange Übergangsfristen vorgesehen, was – zusammen mit der vorgezogenen Veröffentlichung – den Firmen genügend Zeit geben soll, sich auf die Änderungen einzustellen.
Der PA-DSS soll innerhalb eines Monats nach PCI DSS auf 3.2 nachgezogen werden. Zu den SAQs wurden keine Aussagen getroffen. Vermutlich wird es hierzu ebenfalls kleinere Updates nach der Veröffentlichung von Version 3.2 geben.
Die offizielle Meldung zu PCI 3.2 können Sie hier lesen. Wir informieren Sie, sobald weitere Informationen bekannt gegeben werden.