Neue Anforderungen von PCI-DSS seit April 2025

Seit April 2025 gelten im Rahmen des PCI DSS (Payment Card Industry Data Security Standard, Version 4.0.1) neue verpflichtende Anforderungen, die zuvor als Best Practices galten. Diese Änderungen betreffen insbesondere Online-Händler und Dienstleister, die Kreditkartentransaktionen verarbeiten oder weiterleiten. Im Folgenden finden Sie einiger dieser Anpassungen.

Passwortanforderungen für Administratoren

Passwörter für Administratorzugänge müssen nun mindestens 12 Zeichen lang sein und sowohl numerische als auch alphabetische Zeichen enthalten. Falls das System keine 12 Zeichen unterstützt, sind mindestens 8 Zeichen erforderlich.

Zwei-Faktor-Authentifizierung (2FA)

Der Zugriff auf CDE-Bereiche muss durch Zwei-Faktor-Authentifizierung geschützt werden. Dies bedeutet, dass neben dem Passwort ein zusätzlicher Identifikationsfaktor erforderlich ist, beispielsweise ein Einmalcode über eine Authenticator-App oder ein physischer Sicherheitsschlüssel.

Content Security Policy (CSP)

Eine Content Security Policy muss implementiert werden, um zu kontrollieren, welche externen Inhalte auf einer Webseite geladen werden dürfen. Dies dient dem Schutz vor Angriffen wie Cross-Site-Scripting (XSS) und Manipulationen im Checkout-Prozess.

Zertifikatsinventar

Ein Inventar der vertrauenswürdigen Schlüssel und Zertifikate, die zum Schutz von PAN (Primary Account Number) während der Übertragung verwendet werden, muss geführt werden. Dies ermöglicht eine proaktive Überwachung und Verwaltung der kryptografischen Ressourcen.

Authentifizierte Schwachstellenscans

Neu müssen interne Schwachstellenscans authentifiziert durchgeführt werden. Das bedeutet, dass die eingesetzten Scanner mit Zugangsdaten ausgestattet werden müssen, um sich in die Systeme einzuloggen und so tiefere Einblicke in die Systemkonfiguration und Softwarestände zu erhalten.

Überwachung von Zahlungsseiten

Für alle von Ihnen verwalteten Zahlungsseiten ist eine Überwachung auf Änderungen erforderlich. Dies kann durch den Einsatz von Tools zur Änderungs- und Integritätsüberwachung erfolgen, um Manipulationen frühzeitig zu erkennen.

Schutz vor Phishing-Angriffen

Es wird erwartet, dass Sie Massnahmen implementieren, um Ihre Mitarbeiter vor Phishing-Angriffen zu schützen. Dies kann durch Schulungen, technische Lösungen oder beides erfolgen, um das Risiko von Angriffen zu minimieren.

Regelmässige Überprüfung von Benutzerkonten

Alle Benutzerkonten und deren Zugriffsrechte müssen mindestens alle sechs Monate überprüft werden. Dies dient dazu, sicherzustellen, dass nur autorisierte Personen Zugriff auf sensible Daten haben.

Dies ist nur ein Teil der neuen Anforderungen. Die vollständige Liste der Anforderungen ist auf der Webseite des PCI Standard Security Councils zusammengestellt.

Diese Anforderungen gelten für alle Unternehmen, die Kreditkartenzahlungen akzeptieren oder verarbeiten. Es ist wichtig, die notwendigen Massnahmen zu ergreifen, um die Compliance mit dem PCI DSS sicherzustellen und die Sicherheit von Zahlungsdaten zu gewährleisten.