Aus der Veröffentlichung der neuen Version 4.0 des PCI DSS im März 2022 ergeben sich neben begrifflichen Schärfungen auch neue inhaltliche Anforderungen, die sich auf die Durchführung von ASV-Scans auswirken. Bis zum 01.04.2024 bleibt Version 3.2.1 des PCI DSS parallel zu Version 4.0 gültig. Unternehmen haben während dieser Übergangsphase die Wahl, ob sie ihren Compliance-Nachweis nach v3.2.1 oder v4.0 erbringen möchten. Die Regularien schreiben vor, dass Unternehmen ihren ASV-Scan gemäß der PCI DSS-Version durchführen lassen müssen, nach der sie ihre PCI-Compliance nachweisen.
Wir haben unsere Scanumgebung auf der usd PCI DSS Plattform so angepasst, dass Sie Ihre ASV-Scans schon jetzt passend zu einem PCI-Nachweis nach v4.0 bei uns durchführen können.
Was sind ASV-Scans?
Gemäß Anforderung 11.3.2 des PCI DSS v4.0 müssen Unternehmen, die bestimmte Kriterien erfüllen, mindestens einmal alle drei Monate und nach signifikanten Änderungen an ihrer Umgebung durch einen PCI SSC Approved Scanning Vendor (ASV) externe Schwachstellen-Scans durchführen lassen. Scanpflichtig sind Unternehmen, deren Kartendaten-verarbeitende IT-Systeme extern aus dem öffentlichen Internet erreichbar sind, weil sie entweder Kreditkartendaten speichern, verarbeiten oder weiterleiten, oder anderweitig einen direkten Einfluss auf die Sicherheit von Zahlungen haben.
Mehr Informationen zu ASV-Scans finden Sie hier.
Neue Scankomponente: Payment Page Skripte
Mit PCI DSS v4.0 sind zwei neue Anforderungen eingeführt worden, die sich auf die Sicherheit von sogenannten Payment Page Skripten beziehen, die bei Zahlungen über Payment Pages eingesetzt werden.
Was sind Payment Page Skripte?
Unter einer Payment Page versteht man ein Webformular, in das der Karteninhaber seine vollständige Kartennummer (PAN) einträgt, um eine Zahlung zu tätigen. Payment Page Skripte sind Skripte, die auf einer solchen Payment Page eingebunden sind. Diese können vom Händler selbst, dem Payment Service Provider oder von Drittanbietern kommen. Die Funktionen solcher Skripte sind vielfältig und umfassen beispielsweise im Rahmen der Zahlung die Generierung eines iFrames oder die Steuerung eines Redirects. Es ist auch möglich, dass es sich um Skripte handelt, die die korrekte Eingabe von Kartendaten prüfen oder für Werbezwecke, Statistiken oder das Design eingesetzt werden. Unabhängig von ihren Funktionen ist all diesen Skripten gemein, dass sie auf der Seite geladen oder ausgeführt werden können und sie somit einen relevanten Faktor für die Sicherheit bei Kartenzahlungen darstellen. Besonders anfällig sind Payment Page Skripte dabei für sogenannte Web-Skimming-Angriffe.
Anforderungen des PCI DSS zu Payment Page Skripten
Anforderung 6.4.3 des PCI DSS v4.0 schreibt vor, dass nur absolut notwendige Skripte auf der Payment Page ausgeführt werden dürfen. Um eine sichere Verwaltung zu gewährleisten, müssen außerdem alle Skripte inventarisiert, autorisiert und auf Integrität geprüft werden. Für jedes Skript muss zudem begründet werden, warum es auf der Payment Page eingebunden wird.
Anforderung 11.6.1 schreibt vor, dass Maßnahmen ergriffen werden, um unautorisiert vollzogene Änderungen am Inhalt der Payment Pages oder des HTTP Headers frühzeitig zu erkennen. Dazu muss bei erkannten Änderungen ein Alarm beim Händler/Service Provider ausgelöst werden.
Die vollständigen Anforderungen des PCI DSS finden Sie im Dokumentenarchiv des PCI Council.
ASV-Scans nach PCI DSS v4.0 sind ab sofort auf der usd PCI DSS Plattform verfügbar
Um Sie bei Ihrem Compliance-Nachweis nach PCI DSS wie gewohnt zu unterstützen, haben wir unsere Scanumgebung so angepasst, dass Sie mit jedem Scan entscheiden können, ob dieser nach der Version 3.2.1 oder 4.0 durchgeführt werden soll. Weisen Sie Ihre PCI DSS Compliance bereits nach Version 4.0 nach und benötigen dementsprechend einen ASV-Scan für einen Nachweis nach v4.0, werden Sie auf unserer PCI DSS Plattform nun nach der Sicherheit von eingebundenen Payment Page Skripten gefragt. Sofern Sie solche Skripte verwenden, sind Sie spätestens ab dem 01.04.2025 verpflichtet, diese gemäß den Vorgaben des PCI DSS sicher einzubinden. Da die sichere Einbindung der Payment Page Skripte bis dahin eine Empfehlung und keine Verpflichtung darstellt, räumen wir Ihnen gemäß den Vorgaben des PCI DSS die Möglichkeit ein, dies in der Zwischenzeit als Best Practice zu deklarieren.
Mehr Informationen zur Übergangsphase und der ASV-Scanplanung für PCI DSS v4.0 finden Sie im Hilfecenter der usd PCI DSS Plattform.
