PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Customized Approach

18. August 2022

Am 31.03.2022 veröffentlichte das Payment Card Industry Security Standards Council (PCI SSC) Version 4.0 des PCI DSS – das umfangreichste Update des Standards seit Version 1.0. Um Ihnen den Übergang zu vereinfachen, werfen wir in unserer Postreihe einen genaueren Blick auf die wichtigsten Neuerungen, die PCI DSS v.4.0 mit sich bringt. Im ersten Teil betrachten wir den neuen Customized Approach.

Mit der Veröffentlichung von PCI DSS v4.0 wurde ein flexibleres Rahmenwerk eingeführt, das zwei Ansätze für die Umsetzung und Validierung der PCI DSS-Anforderungen zulässt: den traditionellen Ansatz (Defined Approach) und den Customized Approach, der Unternehmen die Erstellung und Umsetzung individueller Sicherheitsmaßnahmen erlaubt. Für Unternehmen, die den traditionellen Ansatz verfolgen, ändert sich nichts - sie erfüllen die PCI DSS-Anforderungen weiterhin so, wie explizit im Standard vorgeschrieben. Der Customized Approach hingegen bietet Unternehmen mehr Flexibilität bei der Erfüllung der PCI DSS-Anforderungen. Damit soll die Entwicklung von maßgeschneiderten Schutzmaßnahmen unterstützt und ermöglicht werden, die den sich entwickelnden Bedrohungen und Technologien Rechnung tragen können.

Defined vs. Customized Approach

Der Standard definiert wie bisher für alle Anforderungen zugehörige Sicherheitsmaßnahmen (Controls). Unternehmen, die den Defined Approach verfolgen, erreichen wie gehabt Compliance, indem sie alle vorgegebenen Maßnahmen korrekt umsetzen. Die meisten Unternehmen werden voraussichtlich weiterhin dem traditionellen Ansatz folgen.

Durch den Customized Approach ist es Unternehmen nun auch möglich, für einzelne Anforderungen eigene Sicherheitsmaßnahmen zu definieren und umzusetzen. Dazu ist im Standard das Maßnahmenziel festgelegt, das die individuelle Maßnahme erreichen muss.

Die Unternehmen können also jetzt entscheiden, ob sie bei einzelnen Anforderungen eigene Sicherheitsmaßnahmen definieren. Dies ist insbesondere für Unternehmen interessant, die schon ein eigenes Rahmenwerk von Sicherheitsmaßnahmen haben, um verschiedene Sicherheitsstandard einheitlich zu bedienen.

Vorgehen beim Customized Approach

Unternehmen, die den Customized Approach verwenden möchten, müssen einige Überlegungen anstellen. Zunächst müssen sie die jeweiligen Anforderungen vollständig verstehen. Der Standard PCI DSS v4.0 enthält für jede Anforderung spezifische Vorgaben, die nach dem Defined Approach umgesetzt werden müssen, und - separat aufgeführt -  das Sicherheitsziel (Customized Approach Objective) der Anforderung. Dieses muss von den Maßnahmen nach dem Customized Approach gewährleistet werden.

PCI DSS v4.0 Customized Approach
Defined Approach und Customized Approach im PCI DSS

Wenn der Customized Approach gewählt wird, können Unternehmen Maßnahmen zur Erfüllung des Sicherheitsziels der entsprechenden Anforderung selbst entwerfen und vorbereiten. Anschließend müssen sie diese Maßnahmen an ihren Qualfied Security Assessor (QSAs) übermitteln und von ihm beurteilen lassen, ob die vorgeschlagenen Maßnahmen das angegebene Sicherheitsziel erfüllen. Dem Assessor obliegt die Aufgabe, geeignete Testverfahren abzuleiten, mit denen im Zuge des Audits überprüft werden kann, ob die Maßnahmen das angegebene Ziel effektiv erfüllen.

Kriterien für Maßnahmen nach dem Customized Approach

Im PCI DSS v4.0 sind einige Kriterien formuliert, die eine Maßnahme nach dem Customized Approach erfüllen muss:

  • PCI DSS 4.0 fordert keine betriebliche Rechtfertigung für den Customized Approach. Die Entscheidung für diesen Ansatz ist dem Unternehmen freigestellt.
  • Die Anforderungen des PCI DSS können auf hybride Art und Weise erfüllt werden, indem sowohl Maßnahmen nach dem Defined Approach als auch dem Customized Approach gleichzeitig angewendet werden. Dies ist sogar innerhalb einer einzigen Anforderung möglich. Ausschlaggebend ist, dass das Sicherheitsziel der Anforderung erfüllt wird.
  • Der Customized Approach ist nicht bei allen Anforderungen zugelassen. Welche Anforderungen den traditionellen Ansatz erfordern, ist in PCI DSS v4.0 beschrieben.
  • Dieselben Maßnahmen können potenziell zur Erfüllung der Sicherheitsziele mehrerer Anforderungen verwendet werden. Jede Anforderung, für die der Customized Approach verwendet wird, muss vom Assessor einzeln validiert werden.
  • Auch wenn es grundsätzlich möglich ist, viele Anforderungen mit Hilfe des Customized Approach zu erfüllen, steigt die Komplexität eines Audits mit der Anzahl der Anforderungen, die diesen Ansatz verwenden. Um das Audit zu vereinfachen, sollten Unternehmen versuchen, die Anzahl der Anforderungen, die den Customized Approach verwenden, möglichst niedrig zu halten.
  • Unternehmen sollten immer das Feedback ihres Assessors zu Maßnahmen nach dem Customized Approach einholen. Dies sollte frühzeitig, also mit ausreichen Vorlauf vor dem PCI DSS v4.0-Audit erfolgen.
  • Unternehmen sollten nach Möglichkeit ihre individuellen Maßnahmen eigenständig entwerfen und implementieren. QSAs sind zu Unabhängigkeit von dem von ihnen geprüften Unternehmen verpflichtet. Sollte der QSA an der Konzeption, Entwicklung oder Implementierung einer Maßnahme beteiligt sein, wird ein separater QSA benötigt, um diese zu testen und zu bewerten.
  • Dokumentation ist der Schlüssel zur Veranschaulichung der Wirksamkeit der individuellen Maßnahmen. Unternehmen sollten Nachweise sammeln und aufbewahren, die Richtlinien, Verfahren, Systemkonfigurationseinstellungen, Berichte, Protokolle, Screenshots usw. umfassen. Die Richtlinien, Verfahren und sonstigen Unterlagen sollten auf die individuellen Maßnahmen abgestimmt sein und diese unterstützen.
  • Eine gezielte Risikoanalyse ist für jede individuelle Maßnahme erforderlich. Diese Risikoanalyse umreißt den Schaden, den die Anforderung verhindern soll, beschreibt die Diskrepanz zwischen definierter Anforderung und angepasster Umsetzung und erklärt, wie die individuelle Maßnahme Schaden verhindern soll. Diese gezielte Risikobewertung ist erforderlich und muss dem Assessor mitgeteilt werden.

Der Customized Approach ist in einem Self-Assessment mittels des Self-Assessment Questionnaire (SAQ) nicht gestattet. Dort müssen immer die im Standard vorgegebenen Maßnahmen umgesetzt werden.

Blick in die Zukunft

Mit Einführung des Customized Approach ist PCI DSS v4.0 gut positioniert, aktuelle und künftige technologische und sicherheitstechnische Herausforderungen zu bewältigen. Durch die gestiegene Flexibilität der zulässigen Sicherheitsmaßnahmen wird der Standard neuen und sich entwickelnden Technologien gerecht, ohne seine Sicherheitsanforderungen senken zu müssen. Unternehmen, die den Customized Approach nutzen möchten, sollten ihre Umgebung und ihre Auditanforderungen eingehend betrachten und ihren Assessor so früh wie möglich in die Planung einbeziehen.

Auch interessant:

Kategorien

Kategorien