PCI DSS 4.0 und Recertification

Compliance ist ein laufender Prozess
13.12.2022 | Expertise

Der Payment Card Industry Data Security Standard (PCI DSS) legt eine Reihe von Anforderungen für Unternehmen fest, die Kreditkartendaten verarbeiten. Dazu zählt unter anderem eine jährliche Rezertifizierung. Auch IXOPAY durchläuft diesen Zertifizierungsprozess. Was dies für die Kunden bedeutet und was die Unternehmen mit PCI DSS 4.0 im kommenden Jahr erwartet, beleuchten wir in diesem Artikel.

Was ist PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) wurde von den Major Credit Card Unternehmen entwickelt und legt grundlegende Anforderungen zum Schutz von Kontodaten und zur Förderung globaler Maßnahmen zur Datensicherheit fest. Jedes Unternehmen, das Kredit- oder Debitkartentransaktionen verarbeitet, ist verpflichtet PCI DSS einzuhalten. Eine Zertifizierung ist regelmäßig erforderlich. Der dahinterstehende Prozess hängt von der Konformitätsstufe des Verarbeiters ab. Von den insgesamt 4 Stufen ist Stufe 1 am strengsten geregelt. Hier ist eine jährliche Prüfung durch einen unabhängigen Prüfer sowie vierteljährliche PCI-Scans durch einen zugelassenen Scan-Anbieter erforderlich. 

Um die Konformitätskriterien zu erfüllen, müssen Sicherheitsmaßnahmen zum Schutz der Kontodaten getroffen werden, die von der Aufrechterhaltung von Sicherheitsmaßnahmen, wie dem Einsatz einer Firewall und Antivirus Software bis hin zum Schutz und zur Datenverschlüsselung reichen. Händler, die Kreditkartentransaktionen abwickeln, müssen ebenfalls PCI DSS-konform sein. Der Grad der Konformität hängt dabei vom Transaktionsvolumen ab. Die Nutzung eines zertifizierten Payment Service Providers (PSP) oder einer Payment Orchestration Platform (POP) macht es Händlern wesentlich leichter, die komplexeren Sicherheitsanforderungen zu erfüllen. 

Durch die Speicherung von Kreditkarteninformationen im sicheren PAN-Tresor von IXOPAY können Händler nachweisen, dass sie die Kriterien für den Schutz von Kontodaten erfüllen. Solange die Kreditkartendaten nicht direkt vom Händler gespeichert oder verarbeitet werden, wird der Umfang des PCI DSS erheblich reduziert. In diesen Fällen müssen die Händler möglicherweise nur einen Fragebogen zur Selbsteinschätzung ausfüllen, anstatt sich einer vollständigen jährlichen Prüfung zu unterziehen.

Data security

Wie erfolgt die Rezertifizierung?

Die Rezertifizierung nach PCI DSS ist ein jährlicher Prozess. Eine Konformitätsbescheinigung ist ein Jahr lang gültig und muss dann erneuert werden. Für Anbieter wie IXOPAY, die nach PCI DSS Level 1 zertifiziert sind, wird die Zertifizierung von einem externen Qualified Security Assessor (QSA) durchgeführt. 

Der QSA bewertet die Payment Prozesse von IXOPAY im Verlauf einer Woche. Dabei werden Fragen zu den Prozessen gestellt und die Konfiguration der an der Zahlungsabwicklung beteiligten Systeme analysiert. Die Prüfung umfasst Bereiche wie Antivirus Software, Firewall-Regeln und die Gewährleistung, dass Datenbanken keine sensiblen Daten über das zulässige Maß hinaus speichern. Nach Abschluss des Audits stellt der QSA eine Konformitätsbescheinigung aus, die für ein weiteres Jahr gültig ist. 

Dieses Verfahren gilt für alle an der Zahlungsabwicklung beteiligten Akteure, einschließlich der auf unserer Plattform integrierten Acquirer und PSPs. Vor der Implementierung eines neuen Adapters überprüft IXOPAY das Zertifikat des Anbieters. Diese Überprüfung wird dann jährlich erneuert. Wenn für einen Anbieter kein aktualisiertes Zertifikat ausgestellt wurde, werden die Verbindungen zu diesem Anbieter deaktiviert.

Was ist PCI DSS 4.0?

Die Version 4.0 des PCI Data Security Standards (PCI DSS) wurde am 31. März 2022 veröffentlicht. Diese wird PCI DSS 3.2.1 ersetzen, indem sie auf neu auftretende Bedrohungen eingeht und die Rückmeldungen berücksichtigt, die in den letzten drei Jahren von mehreren hundert Organisationen eingereicht wurden. Wie in jeder Technologiebranche werden auch in der Payment Industrie laufend neue Technologien eingeführt und integriert. Daher wird auch PCI DSS ständig weiterentwickelt, um diese branchenweiten Veränderungen zu berücksichtigen. 

PCI 3.2.1 wird im Verlauf einer zweijährigen Übergangszeit bis zum 31. März 2024 in Gebrauch bleiben. In dieser Übergangszeit können sich die Unternehmen mit der Version 4.0 vertraut machen und alle erforderlichen Änderungen vornehmen. Ab dem 31. März 2024 wird PCI DSS 3.2.1 auslaufen und vollständig durch PCI DSS 4.0 ersetzt. Nach diesem Zeitpunkt bleibt den Unternehmen ein weiteres Jahr Zeit, um bewährte Verfahren gemäß PCI DSS 4.0 zu implementieren. 

Was verändert sich durch PCI DSS 4.0?

Die Änderungen sind vielfältig. Eine detaillierte Auflistung und weitere Informationen finden Sie hier. Zusammengefasst sind die wichtigsten Änderungen:

  • Zugewiesene Rollen und Verantwortlichkeiten für alle Anforderungen, mit Richtlinien für Security Practices
  • Aktualisierungen, die die Veränderungen der Payment Technologie widerspiegeln und es Organisationen erleichtern, ihre Security Ziele durch alternative Ansätze zu erreichen, wie z. B. Berechtigungen für Gruppen-, gemeinsam genutzte und öffentliche Konten, gezielte Risikoanalysen und neue Möglichkeiten zur Validierung der PCI DSS-Anforderungen
  • Ein verbesserter Überprüfungsprozess, der die Informationen in Compliance-Berichten und Selbstbewertungsfragebögen mit der Konformitätsbescheinigung in Einklang bringt

Was bedeutet das für die Merchants?

Die Auswirkungen von PCI DSS 4.0 auf Händler, die nicht direkt mit Kontodaten arbeiten, dürften minimal sein. IXOPAY wird bis spätestens 2024 PCI 4.0 zertifiziert sein. Wir empfehlen dennoch, sich mit den Änderungen in PCI DSS 4.0 vertraut zu machen und zu prüfen, ob sich die Änderungen gegenüber der Version 3.2.1 in irgendeiner Weise auf die eigene Organisation auswirken. 

Die Erfüllung komplexerer PCI DSS-Anforderungen, wie z.B. die Speicherung von Kartendaten in einem sicheren Tresor und der Schutz bei deren Übertragung über Netzwerke, ist viel einfacher, wenn ein externer Experte diese übernimmt. IXOPAY bietet die notwendige Infrastruktur, um Kartendaten sicher zu speichern und verwendet Security Maßnahmen wie Tokenisierung - bei der rohe Kreditkartendaten durch identifizierende Token für wiederkehrende Transaktionen ersetzt werden - was bedeutet, dass Händler mehr Zeit damit verbringen können, sich auf ihr Kerngeschäft zu konzentrieren und anstelle der Lösung von Sicherheitsproblemen. 

Sie möchten mehr über IXOPAY erfahren?

Gleich kontaktieren!

Über IXOPAY

IXOPAY ist eine Payment Orchestration Plattform, die unabhängiges, flexibles und globales payment processing ermöglicht. Als hoch-skalierbarer und PCI-DSS zertifizierter “Fintech Enabler”, erfüllt IXOPAY sowohl die Wünsche von großen Kunden, als auch jene von “White Label” Kunden, wie z.B. Payment Service Providern, Acquirern und unabhängiges Sales Organisations (ISOs). Die moderne, leicht erweiterbare Architektur bietet intelligente Routing- und Cascading-Funktionen sowie modernstes Risikomanagement, automatisierte Reconciliation und Settlement Funktionalitäten mit Plugin-basierten Integrationen von Acquirern, Payment Service Providern und alternativen Zahlungsmethoden (APMs).

IXOPAY ist Teil der 2001 gegründeten IXOLIT Group, die nationale und internationale eCommerce Kunden aus Wien, Österreich und Florida, USA betreut. Das inhabergeführte und finanzierte Unternehmen ist von einem zwei-köpfigen Team zu einem IT-Spezialisten mit über 80 Experten gewachsen, das innovative Lösungen und Produkte im Herzen von Wien entwickelt.

Weitere Informationen zu IXOPAY: https://www.ixopay.com

Das könnte Sie ebenfalls interessieren!