Home » Fachbeiträge » Security Management » PCI DSS 4.0: Die wichtigsten Änderungen

PCI DSS 4.0: Die wichtigsten Änderungen

Nach über vier Jahren Entwicklungszeit ist Ende März 2022 Version 4.0 des „Payment Card Industry Data Security Standard“ (PCI DSS) veröffentlicht worden. Die lange Entwicklungszeit und der Abstand zur vorherigen Hauptversion lassen schon erahnen, dass die neue Version signifikante Änderungen und Neuerungen mit sich bringt.

1 Min. Lesezeit
© adbobe.stock.com/wladimir1804

Nach über vier Jahren Entwicklungszeit ist Ende März 2022 Version 4.0 des „Payment Card Industry Data Security Standard“ (PCI DSS) veröffentlicht worden. Die lange Entwicklungszeit und der Abstand zur vorherigen Hauptversion lassen schon erahnen, dass die neue Version signifikante Änderungen und Neuerungen mit sich bringt. Sie schließt in vielen Fällen Lücken, die in der Sicherheitsarchitektur von Kreditkartenumgebungen im Laufe der letzten Jahre identifiziert wurden, stellen die Autoren des in der Zeitschrift <kes> erschienen Beitrags „PCI DSS 4.0: Das Warten ist vorbei“ fest.

Beispielsweise wurde im DSS 4.0 eine neue Anforderung ergänzt, durch die das Kopieren der Kreditkartennummer im Rahmen eines Remotezugriffs technisch unterbunden werden muss, sofern für den jeweiligen Benutzer kein Business-Need für diese Funktion besteht. Auch wurde die Thematik zur Nutzung von Multi-Factor-Authentication (MFA) im DSS weiter verschärft: PCI DSS 4.0 führt nun die vollständige Verpflichtung zur Nutzung von MFA beim Zugriff auf das Cardholder-Data-Environment (CDE) ein. Insgesamt gebe es 64 neue Security-Anforderungen – die Autoren Christopher Kristes und Torsten Schlotmann stellen die wichtigsten Änderungen vor.

Der Artikel „PCI DSS 4.0: Das Warten ist vorbei“ ist in der <kes> – Zeitschrift für Informations-Sicherheit erschienen.

Er ist kostenfrei unter www.kes.info/aktuelles/kes/pci-dss-40-das-warten-ist-vorbei/ verfügbar.

Andere interessante Fachbeiträge

Passworteingabe mit Tastatur und Smartphone

Trügerische Sicherheit

Viele Unternehmen setzen eine Multi-Faktor-Authentifizierung (MFA) ein, um wertvolle Informationen abzusichern. Allerdings schützt eine MFA kaum besser als Passwörter und kann genauso leicht kompromittiert werden. Wenn möglich, sollten Unternehmen sich deshalb bemühen, eine Phishing-resistente MFA zu verwenden.

Übers Ziel hinaus – Datenschützer und Microsoft 365

Das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), kam im November 2022 zu dem Ergebnis, dass eine datenschutzkonforme Nutzung des Produktes Microsoft 365 (MS 365) nicht möglich ist. Bereits im Jahr 2020 hatte die Mehrheit der Datenschützer Microsoft eine Absage erteilt.

Brandvermeidung im Serverraum

Ein Brandereignis in einem Serverraum oder Rechenzentrum bringt verheerende Konsequenzen mit sich. Der Brand selbst verursacht zunächst immense Schäden an der Infrastruktur, welche durch den Einsatz konventioneller Brandbekämpfungssysteme noch vergrößert werden. Das führt neben dem eigentlichen Materialschaden auch zu langen Betriebsausfällen. Aber warum überhaupt einen Gedanken an die Folgen eines Feuers verschwenden, wenn man es auch gar nicht so weit kommen lassen kann?