Gespannt erwarten betroffene Unternehmen und QSA-Organisationen die Veröffentlichung der finalen Version 4.0 des PCI Data Security Standards (PCI DSS). Das PCI Security Standards Council (PCI SSC) gab nun bekannt, dass die Veröffentlichung nicht wie bisher geplant in Q4 2021 erfolgen wird. Als neues Veröffentlichungsdatum nennt das PCI Council März 2022.
Grund für die Verschiebung ist nach Angaben des Councils die Entscheidung, eine zusätzliche RFC-Phase (Request for Comments) für die weiterführenden Dokumente des PCI DSS v4.0 einzuräumen. Zu diesen Dokumenten gehören beispielsweise die SAQs (Self-Assessment Questionnaires), ROC-Vorlagen (Report on Compliance) und das PCI DSS Glossar.
Da mit der überarbeiteten Version eine Vielzahl bedeutender Änderungen und Neuerungen am Standard erwartet werden, kündigt das PCI Council aber gleichzeitig an, dass Participating Organizations, QSA-Organisationen und ASVs bereits im Januar 2022 eine Vorschau-Version des Standards erhalten, bevor dieser zur Veröffentlichung freigegeben wird. Somit möchten sie diesen Stakeholdern die Möglichkeit und zusätzliche Zeit einräumen, sich mit dem neuen Standard vertraut zu machen, bevor dieser im März 2022 veröffentlicht wird.
Trotz der verschobenen Veröffentlichung ist für betroffene Unternehmen weiterhin eine ausreichende Übergangsphase von 18 Monaten vorgesehen, um die Änderungen zu prüfen und Prozesse und Systeme entsprechend anzupassen. Diese Phase beginnt, sobald alle PCI DSS v4.0-Dokumente veröffentlicht wurden.
Unsere erfahrenen PCI-Auditoren Jan Kemper und Vinzent Ratermann haben im Webinar am 24.08.2021 ebenfalls einen Blick auf die Entwicklungen geworfen. Hier finden Sie die Aufzeichnung mit ihren Einschätzungen.
Haben Sie Fragen oder benötigen Sie Unterstützung bei Ihrem PCI-Compliance-Projekt? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.