Sicherheitsstandard PCI DSS 4.0.1 nach 31. März 2025 Pflicht

Sicherheitsstandard PCI DSS 4.0.1 nach 31. März 2025 Pflicht

Betreiber von Onlineshops, die nach dem 31. März 2025 ihre Zertifizierung für PCI DSS erneuern, müssen dabei die in der aktuellen Fassung 4.0.1 definierten Standards einhalten. Im letzten Moment hat das PCI die bislang sehr anspruchsvollen Kriterien zur Erfüllung des neuen Standards für viele Händler aber doch wieder aufgeweicht. Wir erklären, worum es dabei genau geht und was Shopbetreiber jetzt tun müssen.

PCI DSS: Das Regelwerk der US-Kreditkartenindustrie

PCI steht für „Payment Card Industry“. Das PCI Security Standards Council der US-Kreditkartenindustrie ist eine Einrichtung, die Sicherheitsstandards für den weltweiten Zahlungsverkehr mit Kreditkarten definiert und von allen an Payment-Prozessen beteiligten Stakeholdern einfordert. Der Payment Card Industry Data Security Standard (PCI DSS) gilt für Anbieter von Software, in die kreditkartenbasierte Payment-Funktionalitäten integriert sind, und Nutzer solcher Software – also auch Betreiber von Onlineshops.

Vor einem Jahr haben wir hier im Splendid Blog in unserem Beitrag „FAQ zu PCI DSS 4.0 im E-Commerce“ bereits viele wichtige Antworten zu diesem Thema zusammengestellt: Welche Verstöße gegen PCI DSS möglich sind, welche Sanktionsmöglichkeiten bestehen, welchen Schutz eine Zertifizierung nach PCI DSS bietet, was genau gilt, wenn Shopbetreiber mit einem Zahlungsdienstleister zusammenarbeiten – und so weiter. Ende Januar 2025 gab es aber noch mal eine klammheimliche Änderung seitens PCI, die für viele Shopbetreiber eine deutliche Entlastung darstellt, unter Sicherheitsexperten nun aber kontrovers diskutiert wird.

Hohe Anforderungen in PCI DSS 4.0 und 4.0.1

Mit dem Schritt von Version 3.2.1 auf PCI DSS 4.0 wurde der Sicherheitsstandard 2022/23 deutlich überarbeitet. Eine ähnlich umfangreiche Anpassung hatte es zuletzt vor mehr als zehn Jahren gegeben. Einer der wichtigsten Punkte war dabei eine neue Regelung zu vorgeschriebenen vierteljährlichen Security-Scans, die für Händler relativ kostspielig wären.

Wer die Zahlungsabwicklung mitsamt der Verwaltung aller Zahlungsdaten vollständig an einen Payment-Service-Provider ausgelagert hat, sollte sich zwar mit der weniger komplexen Checkliste (Self-Assignement Questionnare) SAQ-A für PCI DSS zertifizieren lassen können. Nach dem Wechsel auf PCI DSS 4.0 hätten allerdings auch für diese Shopbetreiber externe Schwachstellen-Scans im Onlineshop durch ein akkreditiertes PCI-Security-Unternehmen (Approved Scanning Vendor, ASV) durchgeführt werden müssen.

Im Oktober 2024 wurde dann die erste Fassung von PCI DSS 4.0.1 veröffentlicht. Darin wurden einige Punkte noch einmal präzisiert – insbesondere die Anforderungen 6.4.3 und 11.6.1, die mit dem Punkt 12.3.1 noch durch eine neue Anforderung ergänzt wurden.

Doch weniger strenge Kriterien für Shopbetreiber

Im Januar veröffentlichte das PCI dann eine neue Version des Fragebogens SAQ-A, den Shopbetreiber laut PCI DSS verpflichtend ausfüllen müssen. Darin sind die Anforderungen 6.4.3, 11.6.1, und 12.3.1 nun allerdings nicht mehr vorhanden, sondern durch ein neues Zulassungskriterium ersetzt. Allerdings müssen Shopbetreiber nun dem PCI gegenüber erklären, dass ihre Onlineshops gegen Skimming-Attacken gewappnet sind.

Die Verantwortung für die Sicherheit der Kreditkartendaten der Shopkunden liegt damit bei den Händlern, die im Fall einer erfolgreichen Skimming-Attacke mit entsprechenden Sanktionen durch das PCI rechnen müssen. Dem Vernehmen nach können dabei durchaus Forderungen im niedrigen fünfstelligen Bereich erhoben werden. Sicherheitsexperten kritisieren, dass ein sicherheitsrelevanter Teil von PCI DSS aus der Checkliste für die Selbstauskunft SAQ-A ausgeklammert und zugleich die gesamte Verantwortung auf die Händler abgewälzt wird.

Was Shopbetreiber jetzt tun müssen

Für die Betreiber von Onlineshops, die mit einem Payment-Service-Provider zusammenarbeiten, ist das Erfüllen der Kriterien von PCI DSS künftig doch weniger aufwendig und kostspielig als befürchtet. Das ist zunächst einmal eine gute Nachricht. Aber da sie dem PCI gegenüber verbindlich erklären müssen, dass ihre Shops gegen Skimming gewappnet sind, ist es umso wichtiger, mit einem zuverlässigen Payment-Partner zusammenzuarbeiten. Security-Experten empfehlen zusätzlich, die eigenen Systeme auf Schwachstellen und Malware scannen zu lassen, um Angriffe mit gefälschten Payment-Seiten zu verhindern.

Können wir Sie unterstützen?

Wir beraten Sie gern, wenn es darum geht, den für Ihr Unternehmen passenden Payment-Service-Provider auszuwählen. Unsere ersten Empfehlungen sind dabei unsere Partner Mollie und Payone. Gern unterstützen wir Sie auch wenn es darum geht, geeignete Sicherheitslösungen in Ihren Shop zu integrieren.

Jetzt Kontakt aufnehmen!

Zum Thema:
Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.

      Carsten Stech

      Carsten Stech

      0431 3947 9900

      DSGVO konform

      Wir erfüllen die EU-Datenschutz-Grundverordnung (DSGVO) und garantieren Serverstandorte in Deutschland mit ISO 27001 Zertifizierung.