Der Payment Card Industry Data Security Standard (PCI DSS) ist eine weithin anerkannte Reihe von Sicherheitsstandards, die Organisationen beim Umgang mit Kreditkartendaten einhalten müssen. Das Payment Card Industry Security Standards Council (PCI SSC) beaufsichtigt den PCI DSS seit 2004, als er von American Express, Visa, Mastercard, Discover Financial Services und JCB International ins Leben gerufen wurde.
Am 31. März 2022 veröffentlichte der PCI Security Standards Council (PCI SSC) die Version 4.0 der PCI Data Security Standards (PCI DSS). PCI DSS v4.0 tritt am 31. März 2024 in Kraft und ersetzt PCI DSS Version 3.2.1, um neue Bedrohungen und Technologien besser zu berücksichtigen und zu bekämpfen. Wie bei allen früheren Versionen hat das PCI SSC einen Zeitplan für die Umsetzung festgelegt, wann Unternehmen auf den neuen Standard 4.0 umstellen sollen und wann der neue Standard verbindlich wird:
Die Aktualisierungen des PCI DSS v4.0 zielen darauf ab, den sich entwickelnden Sicherheitsanforderungen der Zahlungsindustrie gerecht zu werden, Sicherheit als kontinuierlichen Prozess zu fördern, die Flexibilität zu erhöhen und die Verfahren für Organisationen zu verbessern, die unterschiedliche Methoden zur Erreichung ihrer Sicherheitsziele einsetzen. Mit der nächsten Generation des PCI DSS sollen die folgenden fünf Ziele erreicht werden Ziele:
1. Verstärkte Betonung von Sicherheitskultur und Governance
Eine der wichtigsten Änderungen in PCI DSS Version 4.0 ist die stärkere Betonung von Sicherheitskultur und Governance. Die neue Version müssen Organisationen einrichten eine formale Sicherheitskultur zu schaffen und aufrechtzuerhalten, die das Sicherheitsbewusstsein und die Verantwortlichkeit fördert. Organisationen werden außerdem erforderlich sein eine dokumentierte Sicherheitsstrategie sowie formale Sicherheitsrichtlinien und -verfahren haben.
2. Penetrationstests und Schwachstellenmanagement
PCI DSS Version 4.0 wird neue Anforderungen für Penetrationstests und Schwachstellenmanagement einführen. Organisationen werden erforderlich sein häufiger Penetrationstests durchzuführen und die neuesten branchenüblichen Methoden für Penetrationstests zu verwenden. Darüber hinaus müssen Unternehmen robustere Programme zur Verwaltung von Schwachstellen einführen, einschließlich regelmäßiger Scans und Patches für die Systeme.
3. Verbesserte Authentifizierung und Zugangskontrollen
Eine weitere wesentliche Änderung In der Version 4.0 des PCI DSS wird eine verbesserte Authentifizierung und Zugangskontrolle gefordert. Dazu gehören die Verwendung einer Mehr-Faktor-Authentifizierung für alle Systemzugriffe sowie die Verwendung komplexer Passwörter und Authentifizierungsmechanismen. Außerdem müssen Unternehmen strengere Kontrollen für den Fernzugriff auf Systeme einführen.
4. Neue Anforderungen für Cloud- und Virtualisierungsumgebungen
PCI DSS Version 4.0 wird auch neue Anforderungen für Unternehmen einführen, die Cloud- und Virtualisierungsumgebungen nutzen. Die Unternehmen müssen sicherstellen, dass ihre Cloud- und Virtualisierungsumgebungen sicher sind und dass sie angemessene Sicherheits Kontrollen verwenden.
5. Strengere Anforderungen an Dienstleistungsanbieter
Auch für Dienstleistungsanbieter ergeben sich aus PCI DSS 4.0 neue Anforderungen. Sie werden sind verpflichtet zu implementieren zusätzliche Sicherheitsmaßnahmen zum Schutz der Karteninhaberdaten ihrer Kunden, einschließlich Verschlüsselung und mehrstufiger Authentifizierung. Außerdem werden sie erforderlich sein detailliertere Berichte über die Einhaltung des Standards vorzulegen.
Was unternimmt Keyfactor zur Vorbereitung?
Im Februar 2023, Keyfactor die PCI DSS v3.2-Zertifizierung erhalten. KeyfactorDie PKI-basierten digitalen Identitäts- und Integritätsfunktionen von unterstützen alle Facetten des digitalen Vertrauens für Geräte, die Karteninhaberdaten verarbeiten, speichern und/oder übertragen. Obwohl Keyfactor nicht direkt mit sensiblen Karteninhaberdaten arbeitet, tun dies viele seiner Kunden. Mit dieser Zertifizierung können die Kunden von Keyfactor weiterhin Datenschutzverletzungen verhindern und die sensiblen Kreditkartendaten ihrer Kunden besser schützen.
Keyfactor verpflichtet sich, die Sicherheit seiner Kunden an erste Stelle zu setzen, und ein Teil dieser Verpflichtung ist die Einhaltung aktueller und zukünftiger globaler Industriestandards. Als Cybersicherheitsunternehmen, das mit Unternehmen in regulierten Branchen zusammenarbeitet, ist Keyfactor für den Schutz von Daten und Systemen verantwortlich.
Wenn Sie mehr über die Sicherheits- und Compliance-Verpflichtungen von Keyfactorerfahren möchten, besuchen Sie uns bitte: https://www.keyfactor.com/security-compliance/
