PCI DSS 4.0 – Frist endete im März 2025
Die Uhr tickt für Unternehmen, die Kreditkartendaten verarbeiten: Die Frist zur Umsetzung der verschärften Sicherheitsanforderungen des PCI DSS 4.0 endet im März 2025. Wer jetzt nicht handelt, riskiert Bußgelder und Reputationsschäden.
Die Finanzbranche steht vor einem wichtigen Sicherheits-Update: Seit März 2022 ist die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) in Kraft. Die Übergangsfrist endete nun am 31. März 2025. Ab diesem Stichtag müssen alle Organisationen, die Zahlungskartendaten verarbeiten, die neuen Anforderungen vollständig umsetzen.
Unternehmen sollten nun schnell die neuen Anforderungen systematisch implementieren. Alexander Koch, SVP Sales EMEA beim Sicherheitsspezialisten Yubico, warnt: „Ein Sicherheitsvorfall im Zahlungsverkehr ist nicht nur ein IT-Problem – er trifft das Herz des Geschäftsmodells.“
Fünf entscheidende Neuerungen im Überblick
Die Aktualisierung bringt fundamentale Änderungen mit sich. Besonders hervorzuheben sind:
1. Multi-Faktor-Authentifizierung (MFA) wird Pflicht: Ab März 2025 müssen alle Zugriffe auf das Cardholder Data Environment (CDE) durch starke MFA geschützt sein. Phishing-resistente Verfahren nach FIDO-Standards werden dringend empfohlen. Die Verwendung von SMS als zweiter Faktor wird nicht mehr empfohlen und ist ab 2025 nicht mehr zulässig.
2. Flexible Implementierungswege: PCI DSS 4.0 erlaubt mehr Flexibilität bei der Wahl der Methoden zur Erfüllung der Sicherheitsanforderungen. Unternehmen können maßgeschneiderte Lösungen entwickeln, solange sie alle Anforderungen des Standards nachweislich erfüllen.
3. Risikoorientierter Ansatz: Der risikobasierte Ansatz wird in PCI DSS 4.0 verstärkt. Unternehmen müssen ihre individuellen Risiken bewerten und Maßnahmen ergreifen, die diesen Risiken angemessen sind, zusätzlich zur Erfüllung der spezifischen Anforderungen des Standards.
4. Mitarbeiterschulung im Fokus: Da menschliche Fehler ein erheblicher Faktor bei Datenverlusten sind, fordert der Standard umfassendere Schulungsprogramme zu Phishing und Social Engineering.
5. Verschärfte Überwachung und Tests: Die Anforderungen an die Überwachung und das Testen von Sicherheitsmaßnahmen wurden verschärft. Je nach individueller Risikobewertung und Implementierungsentscheidungen können regelmäßige Penetrationstests, Schwachstellen-Scans und forensische Log-Analysen erforderlich sein.
Die Folgen einer verspäteten Umsetzung können gravierend sein. Neben dem Verlust der PCI-Zertifizierung drohen empfindliche Bußgelder durch Kartenorganisationen. Im Falle eines Datenlecks können die Kosten in die Millionen gehen – ganz zu schweigen vom Vertrauensverlust bei Kunden.
Wer tiefer in die Materie einsteigen möchte, findet ausführliche Informationen im FachartikelPCI DSS 4.0: Das Warten ist vorbei (Abo erforderlich).