FAQ zu PCI DSS 4.0 im E-Commerce

FAQ zu PCI DSS 4.0 im E-Commerce

Betreiber von Onlineshops sollten noch bis Ende März 2024 ihre Zertifizierung für PCI DSS erneuern. Denn der von der Kreditkartenindustrie definierte, aktuell in der Version 3.2.1 etablierte Sicherheitsstandard PCI DSS wird zum 1. April 2024 auf die Version 4.0 gehoben. Wer seinen Shop in den kommenden Wochen noch nach dem alten Standard zertifizieren lässt, muss die Überprüfung erst ein Jahr später nach den neuen, strengeren Kriterien vornehmen lassen. Wir erklären, worum genau es dabei geht und warum Shopbetreiber dieses Thema ernst nehmen müssen.

Wofür steht PCI und was ist das?

PCI steht für „Payment Card Industry“. Die US-Kreditkartenindustrie hat sich mit dem PCI Security Standards Council eine Einrichtung geschaffen, die Sicherheitsstandards für den weltweiten Zahlungsverkehr mit Kreditkarten definiert. Die Kreditkartenindustrie erwartet die Einhaltung dieser Standards von den an Payment-Prozessen beteiligten Stakeholdern. Das gilt unter anderem für Anbieter von Software, in die kreditkartenbasierte Payment-Funktionalitäten integriert sind sowie die Nutzer solcher Software – also auch für Shopbetreiber.

Warum ist PCI DSS für Shopbetreiber ein wichtiges Thema?

Die Zusammensetzung der vom PCI definierten Standards ist ausgesprochen komplex. So ist neben dem Software Security Standard Framework und dem Secure Software Lifecycle Standard insbesondere der Data Security Standard (PCI DSS) sehr wichtig. Für den Fall, dass Händler gegen die für sie relevanten Standards verstoßen, behält die PCI sich Sanktionen vor: Strafzahlungen, Beschränkungen und den Entzug der Erlaubnis für die Akzeptanz von Kreditkarten.

Was wäre ein Verstoß gegen PCI DSS?

Ein Verstoß gegen den Datensicherheitsstandard der PCI liegt immer dann vor, wenn es Kriminellen gelingt, Kreditkartendaten zu erbeuten. Im Herbst 2023 haben die Experten für Online-Security von Akamai in einem Blogpost detailliert erklärt, wie Angreifer durch Manipulationen an der 404-Seite von Onlineshops und mithilfe von Fake-Formularen an die Kreditkarteninformationen von ahnungslosen Shopkunden gekommen sind.

Wovor schützt eine aktuelle PCI Zertifizierung?

Sind durch einen erfolgreichen Hackerangriff Kreditkartendaten erbeutet worden, müssen Händler nachweisen, dass ihr Shop mit dem PCI DSS konform arbeitet, dass sie also alles Nötige getan haben, um dem Missbrauch von Kreditkartendaten und Betrug vorzubeugen. Die Rezertifizierung ist jeweils nach zwölf Monaten fällig. Wenn sie zum Zeitpunkt des Schadenfalls nach PCI DSS zertifiziert waren, können sie von der vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen ausgehen. Andernfalls kann es sehr teuer werden.

Was ist neu in PCI DSS 4.0?

Mit dem Schritt von Version 3.2.1 auf PCI DSS 4.0 wird der Sicherheitsstandard deutlich überarbeitet. Eine ähnlich umfangreiche Anpassung gab es zuletzt vor mehr als zehn Jahren. Neu eingeführt werden neben zusätzlichen Leitlinien und Definitionen einige Klarstellungen und Änderungen an Struktur und Format der auszufüllenden PCI Dokumente. Manche Anforderungen wurden entfernt oder zusammengefasst, es gibt aber auch neue Anforderungen. Eine vollständige Liste der Änderungen stellt die PCI als Download zur Verfügung.

Ein anschauliches Beispiel sind vierteljährliche Security-Scans: Wer die Zahlungsabwicklung vollständig mitsamt der Verwaltung aller Zahlungsdaten an einen Payment-Service-Provider ausgelagert hat, kann sich mit der weniger komplexen Checkliste (Self-Assignement Questionnare) SAQ-A für PCI DSS zertifizieren lassen. Nach dem Wechsel auf PCI DSS 4.0 müssen im Onlineshop allerdings auch für diese Shopbetreiber externe Schwachstellen-Scans durch ein akkreditiertes PCI-Security-Unternehmen (Approved Scanning Vendor, ASV) zugelassen werden.

Was sollten Shopbetreiber jetzt tun?

Um noch möglichst lang nach dem bisherigen Standard PCI DSS 3.2.1 zertifiziert bleiben zu können, sollten Shopbetreiber die Rezertifizierung noch einmal im März 2024 durchführen, so dass sie bis März 2025 gilt. Danach ist die Zertifizierung nur noch nach PCI DSS 4.0 möglich.

Ist die PCI Zertifizierung für Händler verpflichtend?

Ja, Händler, die Kreditkartenzahlungen akzeptieren, sind gegenüber der Kreditkartenindustrie verpflichtet, sich den mit PCI DSS konformen Betrieb ihres Onlineshops regelmäßig zertifizieren zu lassen.

Ich arbeite mit einem nach PCI zertifizierten Zahlungsdienstleister zusammen. Reicht das nicht?

Wer einen Onlineshop betreibt, sollte Zahlungen unbedingt über am Markt etablierte Zahlungsdienstleister abwickeln lassen. Und selbstverständlich müssen die Anbieter ihre Payment-Lösungen für Kreditkartenzahlungen regelmäßig nach PCI DSS zertifizieren lassen. Aber auch ein Händler, der mit einem rundum sicheren Payment-Service-Provider zusammenarbeitet, bleibt verpflichtet, nachzuweisen, dass sein Shop im Einklang mit dem Datensicherheitsstandard der Kreditkartenindustrie betrieben wird.

Wer unterstützt Shopbetreiber bei Zertifizierung und Rezertifizierung?

Die Zertifizierung für PCI DSS ist für Shopbetreiber etwas umständlich. Und zudem muss sie jährlich erneuert werden. Sehr angenehm ist es daher, einen kompetenten Payment-Service-Provider im Hintergrund zu haben, der einem eine einfachere Zertifizierung (idealerweise SAQ A) ermöglicht und rechtzeitig vor der fälligen Rezertifizierung entsprechende Erinnerungen verschickt.

Welche Anforderungen stellt der PCI DSS an Händler?

Der Payment Card Industry Data Security Standard (PCI DSS) nimmt Händler als Anwender von Software mit Payment-Funktionen in die Pflicht. Zum einen sind sie dazu verpflichtet, mit PCI DSS konforme Lösungen einzusetzen, um selbst den PCI DSS erfüllen zu können. Zum anderen gilt: Der Einsatz von Software, die für das PCI Software Security Framework validiert worden ist, garantiert noch nicht, dass die Softwareumgebung des Anwenders eine mit PCI DSS konforme Instanz darstellt. Wer vom PCI validierte Software verwendet, sie jedoch nicht in geeigneter Weise implementiert oder aber im laufenden Betrieb nicht dafür sorgt, dass die Sicherheit durch stets rechtzeitig eingespielte Security-Updates dauerhaft gewährleistet bleibt, erfüllt den PCI DSS nicht mehr und kann entsprechend sanktioniert werden – Shopbetreiber zum Beispiel.

Welche Anforderungen stellt das PCI Security Standards Council an Payment-Lösungen?

Die unterschiedlichen vom PCI Security Standards Council definierten Standards legen fest, dass und in welcher Weise Software, die funktional mit Kreditkartenzahlungen zusammenhängt, sicher gestaltet, entwickelt und gewartet werden muss. Die entsprechenden Regelungen schreiben genau vor, welche Anforderungen Hersteller von Software erfüllen müssen, um Produkte anbieten zu können, die alle durch die PCI festgelegten Anforderungen erfüllen. Dazu zählt auch die regelmäßige Wartung im Hinblick auf Sicherheitsaspekte und das Bereitstellen entsprechender Updates. Das gilt selbstverständlich auch für Shopsoftware und Lösungen von Payment-Service-Providern.

Können wir Sie unterstützen?

Wir beraten Sie gern, wenn es darum geht, den für Ihr Unternehmen passenden Payment-Service-Provider auszuwählen und in Ihren Shop zu integrieren.

Jetzt Kontakt aufnehmen!

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.