PCI DSS v4.0

Wir begleiten Sie zu mehr Sicherheit

usd Siegel PCI DSS Secure Payment

Das PCI Security Standards Council (PCI SSC) hat am 31.03.2022 mit PCI DSS v4.0 das bisher umfangreichste Update des Sicherheitsstandards für Kreditkartendaten veröffentlicht, welches die bisherige Version PCI DSS v3.2.1 vollständig ablösen wird.

Auf dieser Seite haben wir die wichtigsten Informationen für Sie zusammengestellt.

Das Wichtigste auf einen Blick

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Ab wann ist die Zertifizierung nach v4.0 verpflichtend?

Für Unternehmen, die sich nach PCI DSS zertifizieren lassen müssen, ist eine klar definierte Übergangsphase vorgesehen, um die Änderungen zu prüfen und ihre Prozesse und Systeme entsprechend anzupassen: PCI DSS v3.2.1 bleibt noch für weitere 2 Jahre gültig, genauer gesagt bis zum 31. März 2024.

In der Übergangszeit sind damit beide Standards, PCI DSS v4.0 und PCI DSS v3.2.1, parallel gültig. Betroffene Unternehmen können gemeinsam mit ihrem QSA entscheiden, gegen welchen Standard in dieser Zeit zertifiziert wird. Am 31.03.2024 wird PCI DSS v3.2.1 vollständig abgelöst und v4.0 ist von dort an die einzig gültige Version des Standards.

Wie schnell muss man neue Anforderungen umsetzen?

Komplett neue Anforderungen in der Version 4.0 erhielten den Zusatz „future-dated“, welcher Unternehmen noch über die Übergangsphase hinaus Zeit gibt, notwendige Implementierungen abzuschließen. Bis zum 31. März 2025 werden diese Anforderungen als Best Practices angesehen und sind in diesem Zeitraum optional.

Nach dem 31. März 2025 werden auch diese Anforderungen als verpflichtend angesehen und müssen im Rahmen zukünftiger PCI DSS-Zertifizierungen vollständig berücksichtigt werden.

Was ist der "Customized Approach"?

Der sogenannte "Customized Approach" bringt im Vergleich zum klassischen Ansatz, bei dem die Requirements fest wie im Standard beschrieben umgesetzt werden müssen, mehr Flexibilität in die Umsetzung der Anforderungen. Sie können beispielsweise bestehende Prozesse und Maßnahmen, die durch andere Normen oder Standards gefordert werden und bereits in Ihrem Unternehmen implementiert sind, auch für Ihre PCI DSS-Zertifizierung übernehmen. Dazu müssen Sie gemeinsam mit Ihrem QSA die Absicht einer Anforderung analysieren und ihre individuelle Umsetzung aufzeigen.

Wir begleiten Sie

Eine Ausrichtung und damit Weiterentwicklung von bestehenden Prozessen auf Basis der Anforderungen des PCI DSS v4.0 erfordert in der Regel ein durchdachtes Umsetzungsprojekt. Egal ob sie bereits frühzeitig eine Zertifizierung nach der neuen Version anstreben oder die Übergangszeit zur Umsetzung nutzen möchten, wir unterstützen Sie gerne:

 

PCI Zertifizierungsprozess Kick-off

Überblick über die neuen Anforderungen

Präsentation der neuen Anforderungen für Ihr Unternehmen in einem ersten Workshop. Gemeinsam verschaffen wir Ihnen einen Überblick über die für Sie relevanten Anforderungen des PCI DSS v4.0 und stellen Ihnen bekannte Herausforderungen und Best Practices vor.

PCI Zertifizierungsprozess Vorbereitung

Anforderungen an Ihr Unternehmen bewerten

Im Rahmen einer Gap-Analyse überprüfen wir alle zertifizierungsrelevanten IT-Systeme, bestehenden Dokumentationen und derzeitige Prozesse auf ihre Konformität mit PCI DSS v4.0. Identifizierte Abweichungen werden in Form eines Maßnahmenkatalogs dokumentiert und mit Ihnen besprochen.

Ihre Zertifizierung nach PCI DSS v3.2.1 steht bevor?

Unsere Expert*innen führen in diesem Zuge gerne parallel eine Gap-Analyse durch, um Ihre Umgebungen, Dokumente und Prozesse bereits auf Abweichungen zu PCI DSS v4.0 zu überprüfen.

PCI Zertifizierungsprozess Zertifizierung

Maßnahmen planen & umsetzen

Wir lassen Sie nach der Gap-Analyse nicht allein. Unsere Auditor*innen erstellen mit Ihnen gemeinsam eine individuelle Roadmap. Dazu erarbeiten wir auf Basis der Ergebnisse Ihrer Gap-Analyse konkrete Maßnahmenpakete mit entsprechenden Tickets, bei deren Umsetzung wir Sie eng begleiten.

PCI Zertifizierungsprozess Siegel & Zertifikat

Zertifizierung nach PCI DSS v4.0

Sie sind bereit. Nach erfolgreicher Umsetzung begleiten wir Sie, wie gewohnt, als Ihr Auditor bei der Bestätigung Ihrer Compliance nach dem PCI DSS.

Mehr Insights

 

In Webinaren und Blogposts haben unsere PCI Expert*innen bereits für Sie einen detaillierteren Blick in den Standard geworfen:

 

Webinaraufzeichnungen

"PCI DSS v4.0 - Let's get started"

"PCI DSS v4.0 - Auswirkungen auf E-Commerce"

"PCI DSS v4.0 - Auswirkungen auf den Handel"

Blogposts

PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Customized Approach

PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Technical User Handling

PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Schutz vor Web-Skimming
PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Authentifizierte Schwachstellenscans

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: ­ +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Anna-Magdalena Kohl
usd Team Lead Sales,
PCI Professional