PCI DSS 4.0 und SAQ: Was E-Commerce-Anbietende wissen sollten

Für wen gilt PCI DSS 4.0? Was E-Commerce Anbietende wissen sollten...

Was ist PCI DSS 4.0

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein international anerkannter Sicherheitsstandard, der entwickelt wurde, um die Sicherheitsanforderungen für Kreditkartentransaktionen und die Verarbeitung von Kartendaten zu definieren. Er ist von der Payment Card Industry Security Standards Council (PCI SSC) entwickelt und richtet sich an Unternehmen, die Kreditkarteninformationen speichern, verarbeiten oder übermitteln. Der PCI DSS 4.0 stellt eine Weiterentwicklung des bisherigen Standards dar, um auf neue Bedrohungen und technologische Entwicklungen zu reagieren und die Sicherheit im Zahlungsverkehr zu erhöhen.


Für wen gilt PCI DSS 4.0?

PCI DSS 4.0 (Payment Card Industry Data Security Standard) gilt für alle Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen. Dies betrifft insbesondere auch Online-Shops und E-Commerce-Händler, die Zahlungen über Kreditkarten abwickeln.


Der PCI SAQ – Was ist das?

Der PCI SAQ (Self-Assessment Questionnaire) ist ein Fragebogen, den Händler und Dienstleister ausfüllen müssen, wenn sie keinen vollständigen Bericht zur Einhaltung der PCI DSS-Sicherheitsstandards benötigen. Dieser Fragebogen dient der Selbstbewertung der Sicherheitsvorkehrungen eines Unternehmens.


Aufbau des Selbstbewertungsfragebogens (PCI SAQ)

Der Selbstbewertungsfragebogen PCI SAQ besteht aus zwei Teilen:


Fragen zur Compliance: Ein Satz von Fragen, der dazu dient, das Niveau der Einhaltung der Sicherheitsanforderungen zu bewerten.


Attestation of Compliance (AoC): Ein Dokument, das entweder vom Unternehmen oder einem zertifizierten Prüfer unterschrieben werden muss, um die Einhaltung der PCI DSS-Vorgaben zu bestätigen.


Welcher Selbstbewertungsfragebogen passt zu Ihrem Online-Shop?

Je nach Art und Weise, wie Zahlungen in einem Online-Shop abgewickelt werden, muss der passende Selbstbewertungsfragebogen (SAQ) ausgewählt werden, um die Konformität mit PCI DSS 4.0 sicherzustellen. Im Folgenden werden die gängigsten Optionen für E-Commerce-Händler beschrieben:


SAQ A: Dieser Fragebogen ist für E-Commerce-Händler, die die gesamte Zahlungsabwicklung an einen PCI DSS-konformen Drittanbieter (z.B. PayPal) auslagern. In diesem Fall werden keine Kreditkartendaten gespeichert oder verarbeitet.


SAQ A-EP: Dieser Fragebogen gilt für E-Commerce-Händler, die die Zahlungsabwicklung ebenfalls an einen Drittanbieter auslagern, jedoch eine eigene Seite zur Erfassung der Kontodaten betreiben. In diesem Fall werden keine Daten gespeichert oder verarbeitet, außer auf Papier.


SAQ B: Dieser Fragebogen ist für E-Commerce-Händler mit physischen Verkaufsstellen, die Kartenzahlungen über Terminals annehmen, wie z.B. Omnichannel-Händler.


Welche Änderungen bringt PCI DSS 4.0 und was bedeutet die Revision 4.0.1?

Die PCI DSS Version 4.0 wurde im April 2022 eingeführt, und die Übergangsphase ist nun abgeschlossen. Ab März 2025 gelten die neuen Sicherheitsanforderungen nach PCI DSS 4.0 verbindlich. Zu den wichtigsten Änderungen gehören:

  1. Stärkere Passwortrichtlinien für Administratoren: Passwörter müssen mindestens 12 Zeichen lang sein, um unzureichend sichere Passwörter zu vermeiden.
  2. Zwei-Faktor-Authentifizierung (2FA): Der Zugriff auf Admin-Bereiche muss zwingend durch eine Zwei-Faktor-Authentifizierung gesichert werden.
  3. Content Security Policy (CSP): Eine CSP wird verpflichtend, um Angriffe wie Cross-Site-Scripting (XSS) zu verhindern und damit die Sicherheit beim Laden von externen Inhalten zu gewährleisten.
    Die Richtlinie schreibt vor, dass alle Skripte auf der Zahlungsseite, die im Browser des Nutzers ausgeführt werden, wie folgt verwaltet werden müssen: Es muss sichergestellt werden, dass jedes Skript autorisiert ist und seine Integrität gewährleistet ist. Außerdem muss eine Liste aller Skripte geführt werden, mit einer schriftlichen Erklärung, warum jedes Skript notwendig ist.
  4. Regelmäßige Sicherheitsscans alle 90 Tage: Diese Scans müssen von einem zertifizierten PCI Approved Scanning Vendor (ASV) durchgeführt werden. Ein ASV-Scan ist eine effektive Möglichkeit, potenzielle Risiken wie ungepatchte Software, offene Ports, unsichere Konfigurationen und veraltete Protokolle zu identifizieren und somit die Sicherheit der Infrastruktur zu gewährleisten. Weitere Informationen unter: https://knowledge.maxcluster.de/asv-scan-/-pci-dss-/-penetrationstest-informationen-ergebnisse-false-positives-und-loesungen

Als Kunde von safefive werden Sie in der ersten Jahreshälfte 2025 von zusätzlichen Plugins profitieren, die die Funktionen für Passwort-Richtlinien, 2FA und CSP-Unterstützung in Ihrem Shopware 5 Shop nachrüsten.


Änderungen in PCI DSS 4.0.1 für SAQ-A eCommerce-Händler

Im Januar 2025 wurde ein Update namens PCI DSS 4.0.1 veröffentlicht, das insbesondere all jene betrifft, die den Selbstbewertungsfragebogen SAQ-A verwenden. Diese Revision 4.0.1 reagiert auf Bedenken hinsichtlich der Komplexität der Umsetzung bestimmter Anforderungen und verfolgt einen risikobasierten Ansatz. Ein wichtiger Punkt ist, dass Händler, die ihre Zahlungsabwicklung an einen Payment Service Provider (PSP) wie PayPal auslagern, nicht mehr verpflichtet sind, jedes Skript zu protokollieren und zu autorisieren, wenn die Zahlungen über die externe Seite des PSP abgewickelt werden.

Beispiel: Wenn ein Kunde in Ihrem Shop mit PayPal bezahlt, übernimmt PayPal die Verarbeitung der Kreditkartendaten. Als Shopbetreiber müssen Sie dennoch sicherstellen, dass PayPal die PCI DSS-Anforderungen erfüllt. Die Verantwortung bleibt bei Ihnen.

Auch mit der Revision 4.0.1, die bestimmte Pflichten für SAQ-A-Händler konkretisiert und teilweise vereinfacht, bleibt die grundlegende Verantwortung beim Shopbetreiber.

Händler sollten deshalb sicherstellen, dass ihre Prozesse und technischen Systeme dem aktuellen Standard entsprechen und regelmäßig überprüft werden. Die Einhaltung von PCI DSS ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der direkt zur Sicherheit der Zahlungsabwicklung und zum Schutz der Kundendaten beiträgt.

Mehr erfahren und informiert bleiben? Abonnieren Sie unseren Newsletter!

    Wir erfassen Ihre E-Mail-Adresse, um Ihnen von Zeit zu Zeit E-Mails über Dienstleistungen zu senden.
    Wenn Sie Ihre E-Mail-Adresse angeben, erklären Sie sich mit unserer Datenschutzrichtlinie einverstanden.

    Nach oben