Noch immer wird mit Hochdruck an der neuen Version des Sicherheitsstandards für Kreditkartendaten PCI DSS gearbeitet. Mit dem angekündigten PCI DSS v4.0 plant das PCI Security Standards Council (PCI SSC) die Ablösung der bisherigen Version PCI DSS v3.2.1. Die PCI-Experten der usd AG verfolgen die Entwicklung mit großem Interesse und gaben bereits in der ersten „Request for Comment (RFC)“-Phase Feedback zum damaligen Entwurf.
Nachfolgend haben wir für Sie die wichtigsten Fragen zum aktuellen Stand zusammengefasst:
Wann ist mit der Veröffentlichung von PCI DSS v4.0 zu rechnen?
Derzeit ist die Veröffentlichung der finalen Version des PCI DSS v4.0 für das zweite Quartal 2021 geplant. Die weiterführenden Dokumente wie beispielsweise SAQs (Self-Assessment Questionnaires), ROC-Vorlagen (Report on Compliance) und das PCI DSS Glossar werden erst wenige Monate nach der finalen Version des PCI DSS v4.0, gegen Ende 2021, veröffentlicht.
PCI DSS v4.0 durchläuft eine vergleichsweise lange Entwicklungsphase bis zur offiziellen Veröffentlichung. Was sind die Gründe dafür?
Das PCI SSC spricht bei Version 4.0 von der signifikantesten Änderung seit PCI DSS v1.0. Die aktuelle Version 3.2.1 wird dem technischen Wandel nicht mehr gerecht. Er muss grundlegend überarbeitet werden, um in der Praxis vermehrt eingesetzte Technologien, wie beispielsweise Cloud-Dienste und Microservice-Technologien, zu reflektieren.
Zudem ist dem Council das Feedback aus der PCI Community außerordentlich wichtig. Daher hat es für die Entwicklung des Standards mit Absicht eine verlängerte Entwicklungsphase vorgesehen, um so Stakeholdern wie beispielsweise QSA-Firmen ausreichend Zeit und mehrfach Gelegenheit für ihr Feedback zu bieten.
Die erste Möglichkeit, im Rahmen des RFC 2019 Feedback zum bisherigen PCI DSS v4.0-Entwurf zu geben, resultiertet in über 3000 Anmerkungen, welche nun sorgfältig ausgewertet werden. Basierend darauf wird ein überarbeiteter Entwurf im Herbst 2020 vorgestellt. Mit der Veröffentlichung des zweiten Entwurfs beginnt auch eine zweite Feedback-Runde durch die Stakeholder. Diese werden darüber hinaus in den vierteljährlich stattfindenden Webcasts und auf dem Community Meeting Ende des Jahres über Updates informiert.
Was bedeutet die Veröffentlichung der neuen PCI-DSS-Version für betroffene Unternehmen?
Für Unternehmen, die sich nach PCI DSS zertifizieren lassen müssen, ist eine klar definierte Übergangsphase vorgesehen, um die Änderungen zu prüfen und ihre Prozesse und Systeme entsprechend anzupassen: PCI DSS v3.2.1 bleibt noch für weitere 18 Monate gültig. Diese Phase startet erst, sobald alle PCI DSS v4.0-Dokumente veröffentlicht wurden – das heißt nicht nur der eigentliche Standard, sondern auch alle unterstützenden Dokumente und Trainings.
In der Übergangszeit von Anfang 2022 bis Mitte 2023 sind damit beide Standards, PCI DSS v4.0 und PCI DSS v3.2.1, parallel gültig. Betroffene Unternehmen können gemeinsam mit ihrem QSA entscheiden, gegen welchen Standard in dieser Zeit zertifiziert wird.
Komplett neue Anforderungen in der Version 4.0 erhalten zudem den Zusatz „future-dated“, welcher den Unternehmen sogar noch über die Übergangsphase hinaus Zeit gibt, notwendige Implementierungen abzuschließen. Diese Anforderungen werden bis zum Ablauf des vorgegebenen „future-dated“-Zeitpunkts als Best Practices angesehen und sind in diesem Zeitraum optional umzusetzende Anforderungen.
Sollten sich Unternehmen bereits auf den neuen Standard vorbereiten?
Der PCI DSS v4.0-Standard befindet sich erst in der Entwicklung und nach der Veröffentlichung steht den Unternehmen wie beschrieben eine ausreichend lange Übergangsphase zur Verfügung. Die beste Vorbereitung ist, die Prozesse im Unternehmen analog der PCI DSS v3.2.1-Anforderungen auszurichten und somit umfassende Sicherheitsmaßnahmen anzustreben. Auch wenn Anforderungen im ersten Entwurf aufgeführt waren, ist nicht sicher, ob diese auch im finalen Standard enthalten sein werden. Die PCI-Experten der usd AG beobachten alle Updates für Sie und werden auch an der nächsten RFC-Runde aktiv beteiligt sein.
Sie haben Fragen zu PCI DSS v4.0 oder benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gerne!
Hinweis: Alle im Artikel genannten Zeitpunkte beruhen auf der derzeitigen Planung und können sich im Laufe des Entwicklungsprozesses ändern.