Am 31. März 2024 ist die bisherige Version 3.2.1 des Payment Card Industry Data Security Standards (PCI DSS) endgültig außer Kraft getreten. Während Unternehmen in der zweijährigen Übergangsphase selbst entscheiden konnten, auf Basis welcher Version des Standards ihr PCI Audit durchgeführt wird, so ist seit dem 1. April 2024 die Vorgabe eindeutig: Alle künftig anstehenden Audits zur jährlichen Überprüfung der PCI DSS Compliance müssen nach Version 4.0 durchgeführt werden.
Für Sie steht dieses Jahr das erste PCI DSS v4.0 Audit an? Sie fragen sich, was sich für Sie ändert? Wir geben Ihnen in diesem Blogbeitrag einen kurzen Überblick zur optimalen Vorbereitung auf Ihr nächstes Audit.
Laufen Audits nach PCI DSS v4.0 anders ab?
Nein, der Auditprozess bleibt unverändert. Planung, Durchführung und der Umgang mit Findings ändern sich mit der neuen Version nicht. Weiterhin starten unsere Auditor*innen mit einem Kick-off und fragen im Rahmen der Audit-Planung ggf. erste Dokumente an, bevor es in die eigentliche Audit-Durchführung geht. Diese darf auch weiterhin -sofern es die zu prüfende Umgebung zulässt- remote durchgeführt werden.
Die meisten Änderungen finden sich in den verwendeten Dokumentationen, den Nachweisen und natürlich in den Requirements selbst.
Update der RoC- und AoC-Dokumente
Ihr QSA erstellt für Sie nach erfolgreichem Abschluss des Audits einen „Report on Compliance“ (RoC) sowie eine „Attestation of Compliance“ (AoC), um die Einhaltung des PCI DSS zu belegen. Diese beiden Dokumente wurden im Rahmen der neuen Version 4.0 überarbeitet, sind aber in ihrer Struktur gleichgeblieben. Ihr PCI Auditor nutzt die neuen Vorlagen bereits, von Ihrer Seite besteht hier kein Bedarf sich mit den geänderten Dokumenten vertraut zu machen.
Detailliertere Nachweise erforderlich
Der RoC beschreibt, wie die einzelnen PCI DSS-Anforderungen in Ihrem Unternehmen umgesetzt werden; also die Sicherheitslage, die Umgebung, die Systeme und den Schutz der Karteninhaberdaten in Ihrem Haus. Er dokumentiert zudem, wie der PCI Auditor bei der Überprüfung der jeweiligen Anforderung vorgegangen ist.
PCI DSS v4.0 fordert zukünftig detailliertere Nachweise im RoC. Eine Bestätigung der Einhaltung reicht dort nun nicht mehr aus, sondern es werden zusätzlich Verweise auf konkrete Konfigurationen, Screenshots oder Dokumentationen erfordert. Beispiel: Während es bisher ausreichte, dass Ihr Auditor die Einhaltung der geforderten Passwortlänge bestätigte, so muss im PCI DSS v4.0 RoC ein Nachweis für die Passwortlänge angegeben werden.
Komplett neue Anforderungen
Insgesamt wurden 64 neue Anforderungen mit Version 4.0 eingeführt. Nur eine vergleichsweise geringe Anzahl, nämlich 13 Anforderungen, wurden nun zum 01.04.2024 verpflichtend. Diese müssen für Ihr nächstes Audit umgesetzt sein oder sind es sogar bereits.
Die verbleibenden neuen Sicherheitsanforderungen im PCI DSS v4.0 sind als sogenannte „future-dated Requirements“ markiert. Zur Implementierung dieser Anforderungen räumt das PCI Council ein weiteres Jahr ein. Doch spätestens zum 31. März 2025 müssen auch diese vollständig wie im Standard beschrieben umgesetzt sein. Bis zum offiziellen Wirksamwerden dieser Requirements zählen sie als Best Practice.
Was bedeutet das für Sie? Ihr PCI Auditor wird im kommenden Audit auf den Stand der Implementierung eingehen, Ihnen allerdings bei Nicht-Erfüllung oder nicht ausreichender Erfüllung kein Finding sondern lediglich Empfehlungen dokumentieren. Klingt erst einmal beruhigend. Dennoch empfehlen wir, mit der Prüfung und Implementierung rechtzeitig zu beginnen, denn einige dieser Requirements erforden größeren Aufwand und haben nicht zu vernachlässigende Auswirkungen.
Die folgenden future-dated Requirements erfordern beispielsweise eine umfangreiche Implementierung:
- Requirement 3.5.1.2: Festplattenverschlüsselung ist nur noch für externe Datenträger zugelassen
- Requirement 3.5.1.1: Hashwerte für PANs müssen mithilfe von keyed cryptographic hashing algorithmen erzeugt werden
- Requirement 3.4.2: Verhindern des Kopierens einer PAN bei Verwendung von Remote-Zugriff-Technologien
- Requirement 6.4.3, 11.6.1: Schutz der Zahlungsseite
- Requirements 7.2.5, 7.2.5.1, 8.6.1-3, 10.2.1.2: Handhabung von technischen Usern
„Die erste Zertifizierung nach dem neuen Standard ist für viele Unternehmen ein wichtiger Meilenstein“ erklärt Torsten Schlotmann, Head of PCI Security Services der usd AG. „Aber wir raten Ihnen unbedingt, sich auch jetzt schon den future-dated Requirements zu widmen. Diese bringen einige größere, teils technische Herausforderungen mit sich. Nutzen Sie unsere Blogposts, Webinar-Aufzeichnungen und neue Webinar-Angebote zu PCI DSS v4.0 oder kommen Sie auf meine Kolleg*innen und mich zu. Wir begleiten Sie, egal wo Sie gerade stehen.“
