PCI DSS 4.0: Was Onlinehändler beachten müssen

PCI DSS 4.0 bringt strengere Sicherheitsanforderungen für Onlinehändler. Seit April 2024 sind vierteljährliche Schwachstellen-Scans Pflicht, auch bei vollständig ausgelagerten Kreditkartendaten. Erfahre, wie du deinen Shop optimal vorbereitest und welche Maßnahmen nötig sind, um sicher zu bleiben.
06.08.2024
5 Minuten Lesezeit
PCI DSS 4.0: Was Onlinehändler beachten müssen
Gabriele Fröbel-Schach
Gabriele Fröbel-Schach
NAWIDA Redaktion

PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsstandard, dessen Ziel es ist, den Missbrauch von Kreditkartendaten zu verhindern und die Sicherheit im Umgang mit diesen Daten zu erhöhen. Dieses Verfahren ist nicht neu. Als Onlinehändler, der Kreditkartenzahlungen anbietet, wurdest du bereits in der Vergangenheit jährlich von deinem Acquirer zu einer Selbstauskunft, dem sogenannten Self-Assessment Questionnaire (SAQ), aufgefordert.
Version 4.0 von PCI DSS ist die neueste Überarbeitung dieses Standards und wurde veröffentlicht, um den sich wandelnden technologischen und sicherheitstechnischen Anforderungen gerecht zu werden.

Hast du als Onlinehändler die Kreditkartenzahlung vollständig an einen PCI-DSS-zertifizierten Zahlungsdienstleister ausgelagert und keine Kreditkartendaten deiner Kunden in deinem Onlineshop erfasst, elektronisch gespeichert, verarbeitet oder übertragen, bist du zur Auskunft nach SAQ A verpflichtet.

Zusätzliche Sicherheitsanforderungen zur Sicherstellung, dass dein Onlineshop robust und sicher ist, waren bis PCI DSS 3.0 nicht erforderlich.

Seit April 2024 ist PCI DSS 4.0 Standard

Im Rahmen der Umsetzung des PCI-DSS-4.0-Standards werden von vielen Acquirern im Rahmen der SAQ A-Auskunft vierteljährliche Schwachstellen-Scans in Onlineshops eingefordert. Dies liegt daran, dass die Checkout-Seite mit dem Link zur Kartenzahlung zunehmend ins Visier von Dritten gerät. Über Web-Skimming und unsichere Payment-Page-Skripte versuchen Angreifer, bereits vor der Weiterleitung des Karteninhabers auf die Seiten des PCI-zertifizierten Partners in die Abwicklung einzugreifen (siehe https://www.payone.com/DE-de/pci-dss). Welche Acquirer Scans einfordern, solltest du bei deinem Zahldienstleister erfragen.

Vorbereitungen auf einen Schwachstellen-Scan in deinem Onlineshop

Schwachstellen-Scans dürfen ausschließlich von zertifizierten Approved Scanning Vendors (ASV) ausgeführt werden. Für deren Zulassung ist das PCI Security Standards Council, LLC zuständig (https://www.pcisecuritystandards.org). Auf deren Webseite finden sich auch Listen zertifizierter Vendors.

ASVs sind beim PCI Security Standards Council akkreditiert und damit qualifiziert, externe PCI Security Scans (ASV-Scans) durchzuführen. Mit den externen und internen Security Scans erfüllst du die PCI DSS Anforderungen 11.3.1 oder 11.3.2 (v4.0).

Bei den Schwachstellen-Scans werden Cyberangriffe auf deinen Onlineshop simuliert, um Sicherheitslücken aufzudecken. Dabei greift der Scan auf Bibliotheken mit bekannten Angriffsmustern zurück, die stetig erweitert werden. Diese Tests sind entscheidend, um den aktuellen Stand der Sicherheitslage zu verstehen und notwendige Verbesserungen vorzunehmen. Ein ähnliches Vorgehen ist bereits aus Penetrationstests bekannt.

Falls du ASV-Scans bei der SAQ-A-Auskunft vorweisen musst, solltest du diese mindestens ein bis zwei Monate, je nach Komplexität deines Systems, planen und deinen Onlineshop vorbereiten.

Um ASV-Scans zu beauftragen, registrierst du dich bei einem zertifizierten Approved Scanning Vendor. Es wird ein Umfang des Scans (Scope) erstellt und ein Termin für den Scan festgelegt. Nach Abschluss des Scans benötigt der ASV in der Regel noch einige Tage zur Überprüfung der Ergebnisse und stellt den Bericht auf seiner Webplattform zur Verfügung.

Die Tarife für den Scan variieren je nach ASV. Du kannst einzelne Scans oder auch Scan-Pakete buchen. Erforderliche Re-Scans sind meist kostenfrei möglich.

Um sicherzustellen, dass dein Onlineshop die ASV-Scans besteht, sind diese Maßnahmen empfehlenswert:

  • Sorge dafür, dass dein Shopsystem und die integrierten Plugins auf dem aktuellen Stand sind und alle Sicherheitspatches eingespielt wurden.

  • Aktualisiere regelmäßig alle System- und Zugangspasswörter deines Onlineshops und deines Servers und verwende ausreichend sichere Passwörter.

  • Stelle sicher, dass jeder registrierte Nutzer und Mitarbeiter jeweils einen eigenen Zugang besitzt und nicht mehrere Personen ein Login nutzen.

  • Durch ein Rechte- und Rollenmanagement in deinem Onlineshop und nachgelagerten Systemen wie ERP, CRM und Ähnlichem solltest du den Zugang zu personenbezogenen Daten auf wenige Mitarbeiter begrenzen (Zugangskontrollen).

  • Sorge dafür, dass die Datenverbindung zu deinem Onlineshop mit einem SSL-Zertifikat verschlüsselt ist und dieses aktuell bleibt. TLS-Zertifikate solltest du auf Version 1.3 umstellen.

  • Stelle die Datenverbindung deines Shops auf aktuelle Übertragungsprotokolle ein (mindestens HTTP/2).

  • Sichere deinen Webserver und deinen Onlineshop zusätzlich durch eine Web Application Firewall (WAF) oder ein CDN-Netzwerk.

Selbst wenn du alle empfohlenen Maßnahmen umgesetzt hast, kann ein ASV-Scan Schwachstellen aufdecken. Insbesondere bei Open-Source-Systemen treten immer wieder unentdeckte Sicherheitslücken auf, beispielsweise Malware-Funde. Auch falsch konfigurierte TLS-Zertifikate können bei dem Scan entdeckt werden.

Werden Fehler und Sicherheitslücken in deinem Onlineshop gefunden, musst du die Schwachstellen beheben und einen Re-Scan durchführen. Erst wenn der Scan keine sicherheitsrelevanten Fehler aufweist, kannst du das Ergebnis bei der PCI-DSS-Überprüfung vorlegen.

AVS-Scans müssen alle 90 Tage wiederholt werden. Da bei einem Scan viele technische Details geklärt werden müssen, beispielsweise die Freigabe des scannenden Vendors in Schutzsystemen wie IDS/IPS oder WAF, ist die Unterstützung durch deinen internen oder externen IT-Partner empfehlenswert.

Fazit

Die Einführung von PCI DSS 4.0 bringt für Onlinehändler strengere Sicherheitsanforderungen mit sich. Besonders Onlinehändler, die die Kreditkartenzahlung vollständig an PCI-DSS-zertifizierte Zahlungsdienstleister ausgelagert haben und bisher unter die Selbstauskunft nach SAQ A fielen, müssen sich auf erweiterte Prüfungen einstellen. Der erforderliche vierteljährliche ASV-Scan stellt eine neue Herausforderung dar, bietet jedoch auch die Chance, den Onlineshop regelmäßig auf Schwachstellen zu überprüfen und sicherheitstechnisch auf dem neuesten Stand zu halten.

Durch systematische Vorbereitung und die Einhaltung der Empfehlungen für die Sicherheit deines Onlineshops, kannst du sicherstellen, dass du die ASV-Scans erfolgreich bestehst. Als Händler profitierst du davon, deinen Kunden ein sicheres Einkaufsumfeld zu schaffen und ihr Vertrauen in dein Geschäft stärken. Auch wirtschaftliche Risiken, die durch Datenschutzverstöße entstehen könnten, werden durch regelmäßige Scans minimiert.

Gerne unterstützen wir dich bei NAWIDA in der Planung und Durchführung der notwendigen Sicherheitsmaßnahmen und Schwachstellen-Scans. Nimm einfach Kontakt mit uns auf, um deine individuellen Herausforderungen zu besprechen und die passenden Maßnahmen rechtzeitig einzuleiten.

 

Nichts mehr verpassen