PCI DSS v4.0 ist seit Maerz 2024 der einzig gueltige Standard fuer alle, die Kartenzahlungen verarbeiten. Ueber 60 neue oder geaenderte Anforderungen machen eine sorgfaeltige Gap-Analyse unumgaenglich.

Wichtige Neuerung: MFA fuer alle CDE-Zugriffe

Multi-Faktor-Authentifizierung ist jetzt fuer alle Zugriffe auf die Cardholder Data Environment vorgeschrieben, nicht nur fuer Remote-Zugriffe. Das betrifft viele interne Systeme, die bisher nur passwortgeschuetzt waren.

Customized Approach

Neben dem Defined Approach gibt es nun den Customized Approach. Unternehmen mit ausgereiften Sicherheitsprogrammen koennen alternative Controls verwenden, sofern das Sicherheitsziel erreicht wird. Das erfordert deutlich mehr Dokumentation.

Anti-Skimming: Script-Inventar Pflicht

Requirement 6.4.3 und 11.6.1 adressieren E-Skimming-Angriffe. Alle Skripte auf Zahlungsseiten muessen inventarisiert, autorisiert und auf Integritaet ueberwacht werden. Besonders relevant fuer E-Commerce.

Roadmap zur PCI v4.0-Compliance

• Scope-Definition und CDE-Identifikation
• Gap-Analyse gegen v4.0 Anforderungen
• MFA fuer alle CDE-Zugriffe implementieren
• Script-Inventar aufbauen und ueberwachen
• SAQ oder QSA-Assessment je nach Transaktionsvolumen