Verizon Business: So gelingt die Einführung von PCI DSS v4.0

Der aktuelle Payment Security Report 2023 von Verizon Business befasst sich intensiv mit dem kommenden Update des Kreditkarten-Sicherheitsstandards der Payment Card Industry. Für die Umsetzung der Version 4.0 bleiben nur noch wenige Monate.

Ende März 2024 wird der aktuelle Sicherheitsstandard v3.2.1 für Kreditkartenzahlungen, Payment Card Industry Data Security Standards (PCI DSS) auslaufen. Auch wenn die Umsetzung des Nachfolgers erst ab März 2025 verpflichtend ist, stellt die Version v4.0 schon bald das einzig gültige Regelwerk dar. Dieses Update ist die größte Änderung seit 2004. Sie umfasst zahlreiche Aktualisierungen und 64 neue Vorgaben. Der PCI-DSS-Standard betrifft alle Unternehmen und Organisationen, die Daten von Karteninhabern speichern, verarbeiten oder übertragen, von E-Commerce bis zum öffentlichen Sektor.

Von besonderer Bedeutung ist die neue Flexibilität bei der Einhaltung der Sicherheitsvorgaben, die das aktualisierte Regelwerk bietet. Neben der expliziten Umsetzung der im Standard festgelegten Anforderungen, dem sogenannten „Defined Approach“ ist nun auch ein „Customized Approach“ möglich, der sich an den definierten Sicherheitszielen orientiert. Dieser Ansatz ermöglicht die Entwicklung von maßgeschneiderten Schutzmaßnahmen, etwa um sich entwickelnde und künftige Bedrohungen und Technologien frühzeitig zu berücksichtigen. Das Einhalten des Standards muss dann im Rahmen eines Audits überprüft werden.

Im März 2024 wird PCI DSS v3.2.1 auslaufen. Der PCI Security Standards Council ist bemüht, Unternehmen dabei zu helfen, die neueste Version des PCI DSS zu verstehen. Zu diesem Zweck hat der Rat einen PCI DSS v4.0 Resource Hub eingerichtet, der nützliche Informationen zum besseren Verständnis des neuen Standards enthält.”

Lance Johnson, Executive Director von PCI SSC

Er ist überzeugt: Wenn Unternehmen verstehen, was PCI DSS v4.0 für sie bedeutet, können sie die notwendigen Schritte ergreifen, um eine reibungslose und effiziente Umstellung zu erreichen.

Anpassung mit Fortschritten verbinden

Der Payment Security Report 2023 (PSR 2023) von Verizon Business befasst sich intensiv mit den Neuerungen im Zuge des PCI DSS v4.0. Laut Verizon bietet das Whitepaper allen Unternehmen, die sich mit diesem neuen Standard auseinandersetzen, die nötigen Werkzeuge, um kritische Bereiche des Sicherheitsmanagements zu berücksichtigen und so nicht nur die Frist einzuhalten, sondern auch den langfristigen Erfolg ihres Unternehmens zu sichern. Dazu gehöre die Rolle der PCI-Sicherheitsintegration in umfassendere Unternehmensführung, Risikomanagement und Compliance-Initiativen sowie die für ein modernes Programmdesign erforderlichen Tools.

Kris Philipsen, der Verantwortliche für Cybersecurity-Consulting des Technologie-Konzerns, stemmt sich gegen hartnäckige Vorurteile, die einer schnellen Umsetzung von Sicherheitsmaßnahmen entgegenstehen.

Compliance wird oft als zusätzliche Komplexität zu der ohnehin schon schwierigen Aufgabe gesehen, digitale Zahlungen angesichts der sich ständig entwickelnden Fähigkeiten von Bedrohungsakteuren zu sichern. Glücklicherweise gibt es äußerst effektive Methoden, um die Einhaltung der Sicherheitsvorschriften für den Zahlungsverkehr zu erreichen, die im Verizon Payment Security Report erläutert wurden.“

Kris Philipsen, Managing Director Cybersecurity Consulting bei Verizon Business

Die würden nicht nur dazu beitragen, die Ergebnisse von PCI DSS v4.0 in hohem Maße vorhersehbar zu machen, sondern es Unternehmen darüber hinaus ermöglichen, entscheidende Leistungsverbesserungen bei der Gestaltung von Sicherheitsprogrammen zu erzielen.

5 zentrale Forderungen

Der PSR 2023 soll Verantwortliche dazu befähigen, Programme zur Einhaltung der PCI-Sicherheit selbst zu entwickeln und zu managen. Dazu setzt er unter anderem auf flexible Modelle, die von Unternehmen eingesetzt werden können und zeigt wichtige Managementmethoden zur Identifizierung und Überwindung der wichtigsten Hindernisse auf. Ergänzt wird diese Handreichung mit einem Leitfaden zur Klärung der Ursachen für eine unzureichende Performance des Sicherheitsprogramms.

Die Autoren des Whitepapers haben die zentralen Erkenntnisse und To-Do’s in fünf Punkten zusammengefasst:

• Mit der Weiterentwicklung der PCI DSS-Anforderungen sollten auch Sicherheitsprogramme angepasst werden.
• Der Erfolg von Datensicherheit und Compliance wird durch Design erreicht – nicht durch Zufall.
• Moderne Managementmethoden vereinfachen die Komplexität der Programmverwaltung und helfen Organisationen, mit weniger Aufwand mehr zu erreichen.
• Organisationen sollten Sicherheitsprogramme so gestalten, dass sie sich auf das Wesentliche konzentrieren und die dringendsten Hindernisse überwinden.
• Ein integrierter Program Management Plan kann auf neue Prozesse angewendet werden und bestehende Prozesse erheblich verbessern.

Zu allen diesen Themen finden sich weitere Details im Payment Security Report 2023, der hier zum kostenlosen Download bereitsteht. hj