Von Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales

Der Stichtag für die Umsetzung der PCI-DSS-Compliance am 31. März steht kurz bevor. Der Übergang von PCI DSS 3.2.1 zu 4.0 stellt einen bedeutenden Schritt in Richtung einer sichereren Zukunft dar, birgt jedoch für viele Unternehmen erhebliche Herausforderungen. PCI 4.0 verlangt umfangreiche und formalisierte Risikobewertungen sowie die Einhaltung diverser Sicherheitsregularien und Datenschutzgesetze, die zum Schutz von Zahlungsdaten und zur Reduzierung von Kreditkartenbetrug dienen.

Die Einhaltung der PCI-DSS-Richtlinien ist für Finanzinstitute, Online-Zahlungsabwickler, Händler, die Zahlungskarten akzeptieren, sowie alle Unternehmen, die Zahlungskartentransaktionen verarbeiten, speichern oder darauf zugreifen, zwingend erforderlich. Somit betrifft sie alle Dienstleister, die Geschäfte im Kartenverarbeitungsumfeld ermöglichen.

Die Ergebnisse des Thales Data Threat Reports 2024  verdeutlichen, dass IT-Sicherheit zunehmend an Bedeutung gewinnt. Dem Bericht zufolge sind 93 Prozent der Fachleute der Meinung, dass Sicherheitsbedrohungen im Umfang oder Schweregrad zunehmen. Außerdem haben 43 Prozent der Unternehmen in den letzten zwölf Monaten eine Compliance-Prüfung nicht bestanden, und 31 Prozent von ihnen hatten im selben Jahr einen Datenverstoß zu verzeichnen. Dem stehen lediglich drei Prozent der Unternehmen gegenüber, die die Compliance-Prüfung anstandslos bestanden haben.

Mehr als nur Compliance: Vertrauen schaffen

Die Einhaltung von Sicherheitsstandards schafft eine zusätzliche Vertrauensebene für Verbraucher. PCI DSS stellt sicher, das Unternehmen die Zahlungsdaten ihrer Kunden mit besonderer Sorgfalt behandeln. Diese Daten werden verschlüsselt und gut geschützt gespeichert, sodass keine anderen Personen darauf zugreifen können. Jeder Kaufvorgang eines Kunden wird durch PCI DSS abgesichert, um dessen Finanzdaten vor digitalen Sicherheitsvorfällen zu schützen.

Anforderungen für PCI DSS 4.0

PCI DSS 4.0 bringt gegenüber 3.2.1 viele Neuerungen mit sich, darunter:

• Erweiterung der Anforderung 8 zur Implementierung von Multi-Faktor-Authentifizierung (MFA) für den gesamten Zugriff auf die Karteninhaberdatenumgebung.
• Aktualisierte Passwortanforderungen, einschließlich der Erhöhung der Passwortlänge von 8 auf 12 Zeichen.
• Änderungen der Anforderungen für gemeinsame, Gruppen- und generische Konten.
• Klar definierte Rollen und Verantwortlichkeiten für jede Anforderung.
• Neue Anforderungen zur Erkennung und Verhinderung von Bedrohungen wie Phishing, E-Commerce- und E-Skimming-Angriffen.
• Aktualisierte Firewall-Terminologie für Netzwerksicherheits-Maßnahmen zur Unterstützung einer breiteren Technologiepalette.
• Verbesserte PCI-DSS-Assessment-Reports und die Möglichkeit Teilbewertungen durchzuführen.
• Größere Flexibilität, wie häufig bestimmte Aktivitäten durchgeführt werden müssen, und die Präsentation verschiedener Methoden zur Erreichung von Sicherheitszielen.

Die technische Komplexität der Anforderungen stellt für die Unternehmen eine große Herausforderung dar. Von den Einzelhändlern wird erwartet, dass sie Kriterien erfüllen, von denen viele für die Branche völlig neu sind. Es gibt viele Änderungen, Übergänge und Zielvorgaben – und Unternehmen, die diese Anforderungen nicht erfüllen, müssen mit Verzögerungen bei der PCI-Konformität und hohen Geldstrafen rechnen. Die gute Nachricht ist, dass es in Zukunft mehr PCI-validierte Dienstleister geben wird, mit denen Unternehmen zusammenarbeiten können, um den Aufwand für die Erfüllung der Compliance-Verpflichtungen zu reduzieren.

Erreichung der Compliance

Um die Einhaltung von PCI DSS 4.0 zu gewährleisten, sollten Unternehmen die folgenden Schritte unternehmen:

1. Durchführung einer Gap-Analyse: Bestehende Sicherheitsmaßnahmen überprüfen, um potenzielle Lücken zu identifizieren. Tools und Anbieter von Drittanbietern auf Einhaltung der Vorschriften bewerten.
2. Relevante Richtlinien und Verfahren aktualisieren: Stellen Sie sicher, dass die Systeme des Unternehmens längere und vielfältigere Passwörter nutzen, und setzen Sie Verschlüsselungsverfahren für alle sensiblen Daten ein. Richten sie automatische Überwachungswerkzeuge für Systemprotokolle ein, um Bedrohungen oder Anomalien zu erkennen.
3. Sofort mit der Umsetzung beginnen: Sobald die Grundlagen stimmen, müssen sich die Unternehmen vorrangig um die Umsetzung der erforderlichen Regeln und Praktiken kümmern, um die Frist einzuhalten.
4. Vorbereitung der Mitarbeiter: Alle Mitarbeiter in die Umsetzung der Compliance-Anforderungen einbeziehen. Bei Bedarf technisches Fachwissen intern oder extern hinzuziehen.
5. Planung regelmäßiger Überprüfungen: Vierteljährliche oder jährliche Überwachung und Wartung für die Schutzmaßnahmen der Hard- und Software einrichten.  

   Fazit

   Eine Nichteinhaltung der PCI DSS 4.0 kann zu Strafen wie Geldbußen, erhöhten Prüfungsanforderungen und einer möglichen Einstellung der Kreditkartenaktivitäten durch Händlerbanken oder Kreditkartenmarken führen. Diese Strafen variieren je nach Transaktionsvolumen, geforderter PCI-DSS-Stufe und Dauer der Nichteinhaltung. Da die Frist für die Einhaltung der Vorschriften näher rückt, können die Anpassungen überwältigend erscheinen. Unternehmen, die die oben genannten Schritte befolgen, sind jedoch gewappnet, um die Anforderungen rechtzeitig zu erfüllen und ihre Sicherheit zu verbessern, bevor neue Bedrohungen auftreten.