Mehr Schutz vor E-Skimming – PCI Council veröffentlicht neuen Leitfaden zu Anforderungen 6.4.3 und 11.6.1 des PCI DSS

Der PCI Security Standards Council (PCI SSC) hat einen neuen Leitfaden herausgegeben: “Payment Page Security and Preventing E-Skimming - Guidance for PCI DSS Requirements 6.4.3 and 11.6.1“. Dieses Dokument gibt Händlern und Dienstleistern Hinweise für die Implementierung von Kontrollen zum Schutz von Zahlungskartendaten bei E-Commerce-Transaktionen.

Gefahr durch E-Skimming wächst

E-Skimming, auch Web-Skimming genannt, ist eine immer größer werdende Gefahr für die Sicherheit von Kreditkartendaten. 
Um dieses Risiko bestmöglich einzudämmen, muss die Sicherheit von Skripten, die bei der Abwicklung von Zahlungen zum Einsatz kommen, gut gesteuert und überwacht werden.

Genau zu diesem Zweck hat das PCI SSC die neuen Anforderungen 6.4.3 und 11.6.1 als Future-dated Requirements mit Version 4.0 des PCI DSS eingeführt:

Anforderung 6.4.3 enthält Vorgaben zur Sicherung aller auf Zahlungsseiten eingebundenen Skripte, einschließlich solchen, die von Dritten bezogen werden.

Anforderung 11.6.1 schreibt vor, dass Mechanismen zur Erkennung von Änderungen und Manipulationen auf Zahlungsseiten eingeführt werden.

Konkrete Hilfestellungen für betroffene Unternehmen

Die E-Commerce Guidance Task Force, die für die Entwicklung des Dokuments verantwortlich war, bestand aus Mitgliedern des PCI SSC, Vertretern von Payment Brands, Mitgliedern des Board of Advisors/Technical Advisory Board, Mitgliedern des Global Executive Assessor Roundtable (GEAR) und Mitgliedern der Small Merchant Business (SMB) Task Force.

Unser Kollege Hendrik Diederich, Senior Security Consultant und PCI-Auditor, hat als Mitglied der E-Commerce Guidance Task Force am neuen Leitfaden mitgewirkt.

Das rät unser Experte

Zwei Themenbereiche, die unter anderem im neuen Leitfaden adressiert werden, sind aus Sicht unseres Experten besonders interessant für Unternehmen: Scoping und Umsetzung.

Scoping: Wer muss Anforderungen 6.4.3 und 11.6.1 erfüllen?

• In der neuen Version des SAQ A wurden beide Anforderungen gestrichen und durch eine neue Eligibility Criteria für die Anwendung des SAQ A als Nachweisform ersetzt. (Mehr Informationen dazu finden Sie in unserem Newsblog: https://www.usd.de/update-pci-saq-a-2025/)
• Die Anforderungen betreffen alle Skripte, die genutzt werden, um Zahlungen durchzuführen, beispielsweise per direct-post
• Die Anforderungen betreffen zusätzlich alle Skripte, die in die Webseite eingebunden sind, auf der die Zahlung durchgeführt wird
• Wenn ein Redirect zu einem Dienstleister für die Zahlung mithilfe eines Skripts durchgeführt wird, ist dieses Skript auch im Scope

Umsetzung: Wie können Unternehmen die Anforderungen erfüllen?

Anforderung 6.4.3:

• Authorization: Es kann eine Person benannt und dokumentiert werden, die berechtigt ist, die Verwendung eines Skripts zu genehmigen (zum Beispiel als Teil des Entwicklungsprozesses).
• Inventory: Jedes verwendete Skript muss dokumentiert werden – inklusive der Begründung, warum es benötigt wird.
• Integrity: Zur Wahrung der Integrität bietet sich die Nutzung von CSP, SRI oder Proxy-basierten Lösungen an.

Anforderung 11.6.1:

• Die folgenden Komponenten und Aspekte der Webseite, auf der Zahlungen durchgeführt werden, sollten überwacht werden:
  • Header, die Einfluss auf die Sicherheit der Zahlungsseite haben könnten
  • Änderungen an Skript-Inhalten
  • Anzeichen für eine Kompromittierung der Skript-Inhalte
• Es muss ein System zur Alarmierung geben, falls eine Kompromittierung festgestellt wird. Dies kann mithilfe von CSP report-to, proxy-based Lösungen oder der verwendeten Monitoring-Lösung etabliert werden.
• Häufigkeit: alle 7 Tage oder basierend auf der Targeted Risk Analysis (TRA)
  (Mehr Informationen zu TRA finden Sie in unserem Newsblog: https://www.usd.de/targeted-risk-analysis-pci-dss/)

---

Benötigen Sie Hilfe bei der Vorbereitung auf oder Umsetzung von PCI DSS in Ihrem Unternehmen? Sprechen Sie uns an – unsere Expert*innen sind für Sie da.