BLOG

Wichtige Änderungen in PCI DSS 4.0.1, die Sie kennen sollten

Udo Blücher Thumbnail
Udo Blücher
Veröffentlicht am 30. Juli 2024

Ist der Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 nicht gerade am 31. März 2024 abgelaufen und wurde er durch PCI DSS v4.0 ersetzt?

Ja und ja.

Um jedoch auf die Rückmeldungen und Fragen einzugehen, die nach der Veröffentlichung von PCI DSS v4.0 eingegangen sind, hat das PCI Security Standards Council (PCI SSC) beschlossen, eine begrenzte Überarbeitung des Standards zu veröffentlichen: PCI DSS v4.0.1. (Wenn PCI DSS v4.0 am 31. Dezember 2024 ausläuft, wird v4.0.1 der einzige aktive Standard sein, der von PCI SSC unterstützt wird.) 

Es gibt mehrere wichtige Änderungen in PCI DSS v4.0.1, die Sie kennen sollten, wenn Sie die Transaktionssicherheit und -Compliance aktualisieren oder ausbauen. Der Kürze halber behandelt dieser Blog Änderungen und Aktualisierungen, die sich auf die Anwendungs- und API-Sicherheitslösungen von F5 beziehen. Eine ausführlichere Liste der Änderungen finden Sie auf der Website des PCI SSC

Die wichtigsten Aktualisierungen in PCI DSS v4.0.1 zielen darauf ab, den Umfang der clientseitigen Sicherheitsanforderungen zu klären.

Wer ist für was verantwortlich?

Anforderung 6.4.3

Diese Anforderung besagt, dass alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, wie folgt verwaltet werden sollten:

  • Es ist eine Methode implementiert, um zu bestätigen, dass jedes Skript autorisiert ist.
  • Es wird eine Methode implementiert, um die Integrität jedes Skripts sicherzustellen.
  • Es wird ein Inventar aller Skripte geführt, mit einer schriftlichen geschäftlichen oder technischen Begründung, warum jedes einzelne davon erforderlich ist.

Normalerweise verlassen sich Händler bei der Zahlungsabwicklung auf Zahlungsdienstleister oder Drittanbieter (PSPs oder TPSPs). Diese bestimmen die Methode, mit der ein Verbraucher für die erworbenen Waren oder Dienstleistungen bezahlt. Diese PCI-Anforderung führte zu Verwirrung im Zusammenhang mit dem Verantwortungsmodell für Szenarien, in denen Händler PSP/TPSP-Inlineframes (Iframes) mit der Zahlungsseite verwendeten. Ein Iframe ist im Wesentlichen eine kleine Webseite, die für eine bestimmte Funktionalität gerendert wird. Es können auch Skripts darauf ausgeführt werden, wodurch das Iframe denselben Risiken ausgesetzt ist wie übergeordnete Webseiten. Müssen Iframes daher dieselben PCI-Anforderungen erfüllen wie übergeordnete Seiten?

Das Update v4.0.1 stellt klar, dass Händler nur für das Skript verantwortlich sind, das auf ihrer eigenen Seite (der übergeordneten Seite) ausgeführt wird, und nicht für das Skript, das auf PSP/TPSP-Iframes ausgeführt wird.

Bewährte Methode: Es liegt in der Verantwortung des Händlers, mit dem Anbieter der PSP/TPSP-Iframe-Seiten zusammenzuarbeiten, um sicherzustellen, dass diese konform und sicher sind. Wenn der Händler diese Anforderung nicht erfüllt, besteht das Problem des Zahlungsbetrugs, was zu Geschäftsverlusten und intensiver Prüfung durch PCI führt.

Anforderung 11.6.1

Ähnliche Klarstellungen wurden zur Anforderung 11.6.1 aufgenommen, wobei der Schwerpunkt auf dem sicherheitsrelevanten System der vom Verbraucherbrowser empfangenen HTTP-Header und -Skripte lag. Dies ist eine wichtige Änderung, da PCI klarstellt, dass es sich auf die mit dieser Anforderung verbundenen Risiken konzentriert und nicht auf die Forderung nach einem umfassenderen Schutz für HTTP-Header- und Skriptvorfälle, die nichts mit der Sicherheit zu tun haben.

Es gibt auch Aktualisierungen in Bezug auf das Verantwortungsmodell für in PSP/TPSP eingebettete Iframes, die klarstellen, dass der Händler nur für die übergeordnete Webseite verantwortlich ist und der PSP/TPSP-Anbieter für die sicherheitsrelevanten HTTP-Header und Skripte verantwortlich ist, die in seinen Iframes gerendert werden.

 

Die Uhr tickt

Da bis zur Frist zur Umsetzung der neuen Anforderungen im März 2025 weniger als neun Monate verbleiben, müssen sich Unternehmen mit allen Komplexitäten im Zusammenhang mit den vorgeschlagenen Änderungen und der Einhaltung von PCI DSS v4.0.1 auseinandersetzen.

 

F5 und PCI DSS v4.0.1

F5 Distributed Cloud Web App and API Protection (WAAP) , Distributed Cloud Bot Defense , Distributed Cloud Client-Side Defense und Mobile App Security Suite von F5 Distributed Cloud Services bilden die Grundlage für den Schutz der gesamten Business-to-Consumer-Transaktion. Für clientseitige Skripte kann Distributed Cloud Client-Side Defense Transparenz und Kontrolle bieten, um die Einhaltung von Vorschriften zu ermöglichen. F5 Distributed Cloud Services entspricht derzeit PCI DSS v4.0 und wird regelmäßig von einem zugelassenen Prüfunternehmen Konformitätsprüfungen unterzogen. Organisationen müssen bis zum 1. Januar 2025 PCI DSS v4.0.1-konform sein und die Selbstbewertungsfragebögen müssen entsprechend aktualisiert werden.

Und nicht zuletzt können Organisationen, die den PCI-DSS-Anforderungen unterliegen, in den kommenden Kalenderquartalen mit Änderungen an der folgenden Dokumentation rechnen: 

  • Fragebögen zur Selbsteinschätzung (SAQs)
  • Compliance-Bericht (ROC)
  • Konformitätsbescheinigungen (AOCs)

Bewährte Methode: Beobachten Sie https://blog.pcisecuritystandards.org hinsichtlich Aktualisierungen oder Überarbeitungen der Standards und besprechen Sie sich mit Ihrem PCI DSS-Auditor, um sicherzustellen, dass Ihr Unternehmen auf dem richtigen Weg ist, um die PCI DSS-Anforderungen zu erfüllen.

Weitere Informationen finden Sie unter f5.com/products/distributed-cloud-services .