Am 15. Januar 2026 hat das PCI Security Standards Council (PCI SSC) die Version 2.0 des PCI Secure Software Standards veröffentlicht. Es handelt sich um die erste umfassende Überarbeitung seit der Einführung des Standards.
Einblick in die wichtigsten Änderungen
Die neue Version strafft den Aufbau, reduziert Überschneidungen mit dem PCI Secure Software Lifecycle Standard und führt wichtige neue inhaltliche Schwerpunkte ein, die direkte Auswirkungen auf Softwarehersteller haben.
- Neue Fokussierung auf Sensitive Assets: Die neue Version des Standards richtet sich nicht mehr primär an Payment Applications, sondern stellt die Identifikation und den Schutz von Sensitive Assets deutlich stärker in den Vordergrund. Dafür wurde ein neues Begleitdokument veröffentlicht: Sensitive Asset Identification (SAID). Es unterstützt Hersteller dabei, Sensitive Assets zu identifizieren und zu dokumentieren. Ein Sensitive Asset ist nach Definition im Standard jedes Element eines Softwareproduktes, einschließlich des Softwareproduktes selbst, dessen unautorisierter Zugriff, Nutzung, Veränderung oder Offenlegung die Sicherheit von Zahlungsvorgängen oder zahlungsbezogenen Daten beeinträchtigen kann.
- Software Development Kits können erstmals zertifiziert werden: Neu ist die Möglichkeit, Software Development Kits bewerten zu lassen, einschließlich EMVCo 3DS SDKs. Dafür wurde ein eigenes Modul eingeführt.
- Wildcards wieder zugelassen: Nicht sicherheitsrelevante Softwareänderungen müssen nicht mehr vollständig re-zertifiziert werden, denn Wildcards sind wieder erlaubt. So werden Change-Prozesse effizienter.
- Neue Anforderungen an Dokumentation, Architektur und Bill of Materials: Mit Version 2.0 wird eine vollständige Dokumentation der Softwarearchitektur, sämtlicher Komponenten und der Software Bill of Materials verpflichtend. Diese Anforderung gilt nun für alle Softwareprodukte.
- Stärkere Kontrollen und Multi-Faktor-Authentifizierung für sensible Betriebsmodi: Für sensible Betriebsmodi, wie administrative oder Debug-Zugriffe, fordert der Standard künftig verpflichtend Multi-Faktor-Authentifizierung sowie weitere Maßnahmen zur Absicherung des Zugriffs.
- Überarbeitete Struktur und neue Terminologie: Mit Version 2.0 wurde der Aufbau des Standards überarbeitet und sprachlich angepasst. Die Anforderungen sind neu strukturiert, um die Orientierung innerhalb des Standards zu erleichtern. Zudem ersetzt der Standard den Begriff "Control Objectives" durch "Security Objectives".
Welche nächsten Schritte empfehlen wir Ihnen?
„Auch wenn das PCI SSC noch keine offizielle Übergangsfrist veröffentlicht hat, sollten Softwarehersteller die umfangreichen Änderungen von v2.0 nicht aufschieben. Starten Sie jetzt damit, Ihre Anwendungen gegen die neuen Anforderungen zu prüfen und den konkreten Einfluss auf Ihre Anwendungen zu bewerten. Besonders wichtig sind die Identifikation Ihrer Sensitive Assets sowie die vollständige Dokumentation Ihrer Softwarearchitektur inklusive aller Komponenten. Wer sich jetzt vorbereitet, reduziert Aufwand und Verzögerungen bei der kommenden (Re-)Zertifizierung. Als guter erster Schritt hat sich unserer Erfahrung nach eine Gap-Analyse bewährt."
Lorenz Heiler, usd Managing Consultant und PCI SSF Assessor
Möchten Sie erfahren, wie sich die Änderungen der Version 2.0 auf die Zertifizierung Ihrer Software auswirken und welche Schritte Sie jetzt für eine erfolgreiche Vorbereitung auf die nächste Zertifizierung ergreifen sollten? Wir unterstützen Sie. Kontaktieren Sie uns gern.
