PCI DSS v4.0 & v4.0.1
Wir begleiten Sie zu mehr Sicherheit
Das PCI Security Standards Council (PCI SSC) hat 2022 mit PCI DSS v4.0 das bisher umfangreichste Update des Sicherheitsstandards für Kreditkartendaten veröffentlicht, welches die Version v3.2.1 am 31. März 2024 abgelöst hat. Wenige Wochen später, am 11. Juni 2024, veröffentlichte das Council mit Version 4.0.1 bereits ein minor Update des Standards. Die Anforderungen bleiben größtenteils unverändert.
Auf dieser Seite haben wir die wichtigsten Informationen für Sie zusammengestellt.
Das Wichtigste auf einen Blick
Ihr Titel
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
Seit wann ist die Zertifizierung nach v4.0 verpflichtend?
Am 31.03.2024 wurde PCI DSS v3.2.1 vollständig abgelöst und v4.0 ist seitdem die einzig gültige Version des Standards.
Ab wann gelten die future-dated Requirements?
Komplett neue Anforderungen in der Version 4.0 erhielten den Zusatz „future-dated“, welcher Unternehmen noch über die Übergangsphase hinaus Zeit gibt, notwendige Implementierungen abzuschließen. Bis zum 31. März 2025 werden diese Anforderungen als Best Practices angesehen und sind in diesem Zeitraum optional.
Nach dem 31. März 2025 werden auch diese Anforderungen als verpflichtend angesehen und müssen im Rahmen zukünftiger PCI DSS-Zertifizierungen vollständig berücksichtigt werden.
Was ist der "Customized Approach"?
Der sogenannte "Customized Approach" bringt im Vergleich zum klassischen Ansatz, bei dem die Requirements fest wie im Standard beschrieben umgesetzt werden müssen, mehr Flexibilität in die Umsetzung der Anforderungen. Sie können beispielsweise bestehende Prozesse und Maßnahmen, die durch andere Normen oder Standards gefordert werden und bereits in Ihrem Unternehmen implementiert sind, auch für Ihre PCI DSS-Zertifizierung übernehmen. Dazu müssen Sie gemeinsam mit Ihrem QSA die Absicht einer Anforderung analysieren und ihre individuelle Umsetzung aufzeigen.
Ab wann gilt PCI DSS v4.0.1?
PCI DSS v4.0.1 wird v4.0 am 31. Dezember 2024 ablösen.
Wir begleiten Sie
Eine Ausrichtung und damit Weiterentwicklung von bestehenden Prozessen auf Basis der Anforderungen des PCI DSS v4.0 bzw. PCI DSS v4.0.1 erfordert in der Regel ein durchdachtes Umsetzungsprojekt. Dabei unterstützen wir Sie gerne:
Anforderungen an Ihr Unternehmen bewerten
Im Rahmen Ihres bevorstehenden Audits überprüfen wir durch eine Gap-Analyse alle zertifizierungsrelevanten IT-Systeme, bestehenden Dokumentationen und derzeitige Prozesse auf ihre Konformität mit den future-dated Requirements des PCI DSS v4.0 sowie den Updates aus PCI DSS v4.0.1. Identifizierte Abweichungen werden in Form eines Maßnahmenkatalogs dokumentiert und mit Ihnen besprochen.
Maßnahmen planen & umsetzen
Wir lassen Sie nach der Gap-Analyse nicht allein. Unsere Auditor*innen erstellen mit Ihnen gemeinsam eine individuelle Roadmap. Dazu erarbeiten wir auf Basis der Ergebnisse Ihrer Gap-Analyse konkrete Maßnahmenpakete mit entsprechenden Tickets, bei deren Umsetzung wir Sie eng begleiten.
Zertifizierung
Sie sind bereit. Nach erfolgreicher Umsetzung begleiten wir Sie, wie gewohnt, als Ihr Auditor bei der Bestätigung Ihrer Compliance nach dem PCI DSS.
Mehr Insights
In Webinaren und Blogposts haben unsere PCI Expert*innen bereits für Sie einen detaillierteren Blick in den Standard geworfen:
Webinaraufzeichnungen
PCI DSS v4.0.1: Bereit für future-dated Requirements?
PCI DSS v4.0 - Targeted Risk Analysis
Blogposts
PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Keyed Cryptographic Hashes
PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Authentifizierte Schwachstellenscans
PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Schutz vor Web-Skimming
PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Customized Approach
