Sicherheitszertifikat
PCI 4.0
Sicherheitsstandard für die Aufbewahrung und
Weiterverarbeitung sensibler Karteninhaberdaten
PCI 4.0 und die neue Scanpflicht ab 01. April 2024
Zum 01. April 2024 ändern sich die Anforderungen zum PCI Nachweis für Händler:innen.
Mit dem 27.03.2024 ergeben sich für Dich neue Prüfmaßnahmen aus dem verpflichtenden PCI 4.0 Standard. Diese basieren auf Deiner Verantwortung, um eine sichere Zahlungsabwicklung und die jederzeitige externe Erreichbarkeit des Webshops zu gewährleisten. Als Dein verlässlicher Partner rund um das Thema Payment möchten wir Dich rechtzeitig auf die Bedeutung dieser Änderung hinweisen und Dich bei den nächsten Schritten unterstützen.
Zertifiziere Dich jetzt !
Tipp: Wer sich bis zum 27.03.2024 noch einmal nach dem aktuellen PCI DSS 3.2.1 Standard rezertifizieren lässt, ist erst 12 Monate nach der Rezertifizierung, also ab 2025 zu einem vierteljährlichen ASV-Scan nach PCI DSS 4.0 verpflichtet.
Was ist der Payment Card
Industry (PCI) Data Security Standard (DSS)?
Sicherheit im Zahlungsverkehr und der Schutz von Kreditkarteninformationen und Transaktionsdaten ist Voraussetzung für das Vertrauen der Verbraucher:innen und aller am Zahlungsprozess beteiligten Parteien. Um dieses Vertrauen zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei allen Kreditkartenorganisationen eine zentrale Rolle.
So haben sich die Kartenmarken Visa, Mastercard, American Express, Discover und JCB im Rahmen des sogenannten PCI Council auf einen gemeinsamen, einheitlichen Standard zum Schutz empfindlicher Kreditkartendaten verständigt.
Dieser international gültige Standard heißt Payment Card Industry Data Security Standard (PCI DSS) und schreibt den korrekten Umgang mit Kreditkartendaten für alle Marktteilnehmer:innen vor.
PCI 4.0 – Was ist neu?
PCI 4.0 verpflichtet zu einer vierteljährlichen Durchführung von technischen Sicherheitsanalysen in Form von PCI ASV-Scans.
Ein ASV (Approved Scanning Vendor) ist ein vom PCI Security Standards Council zugelassenes Unternehmen, das Netzwerk-Scans auf externe Schwachstellen durchführt.
Ziel ist es, die Sicherheit im Online-Handel für alle Beteiligten weiterhin zu gewährleisten.
Wichtig für Dich
Dies ist keine exklusive Forderung der 1cs. Jeder Zahlungsdienstleister ist dazu verpflichtet diese Scanpflicht bei ihren Händler:innen durchzuführen.
Deine vier Vorteile bei einer erneuten Zertifizierung
mit PCI 3.2.1 bis zum 27.03.2024
Wenn Du Dich erneut zertifizierst, hast du ab der Zertifizierung
1 Jahr keine Verpflichtung zu den ASV-Scans.
Du sparst Dir noch 1 Jahr die Kosten (ca. 1000€ Gesamt) für die Scans pro Quartal.
Du bist auf dem neusten Stand der PCI Zertifizierung und die Daten Deiner Kundschaft sind bei Dir sicher.
Du sparst Dir für 1 Jahr Zeit, Aufwand und Kosten.
Wichtige Fragen und Antworten
Wir haben die am häufigsten gestellten Fragen für Dich zusammengefasst.
Wenn Du andere Fragen hast, kannst Du Dich gerne an uns wenden.
Was ist PCI DSS?
Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI bzw. PCIDSS, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.
Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.
Diese Anforderungen werden laufend überprüft und an die aktuellen Herausforderungen im Umgang mit IT-Sicherheit angepasst.
Aktuelle Nachweise beruhen auf dem Standard nach PCI 3.2.1.
Was ändert sich mit PCI 4.0?
Mit dem 27.03.2024 ergeben sich für Dich neue Kontrollmaßnahmen aus dem verpflichtenden PCI 4.0 Standard. Diese basieren auf Deiner Verantwortung für die sichere Zahlungsabwicklung und die jederzeitige externe Erreichbarkeit des Webshops.
Diese Kontrollmaßnahmen verpflichten zu einer vierteljährlichen Durchführung von technischen Sicherheitsanalysen in Form von kostenpflichtigen PCI ASV-Scans. Ein ASV (Approved Scanning Vendor) ist ein vom PCI Security Standards Council zugelassenes Unternehmen, das Netzwerk-Scans auf externe Schwachstellen durchführt.
Warum bin ich davon betroffen?
Scanpflichtig nach PCI DSS 4.0 sind Händler deren Systeme:
- Kreditkartendaten speichern, verarbeiten oder weiterleiten
- direkten Einfluss auf die Sicherheit der Zahlung haben und
- vom externen Internet aus erreichbar sind
Was bedeutet das für mich?
Du musst vierteljährlich die Durchführung von technischen Sicherheitsanalysen in Form von ASV-Scans, zum Nachweis der PCI DSS Compliance ab dem 01.04.2024 erbringen.
Was ist ein ASV?
Ein Approved Scanning Vendor (ASV) ist ein vom PCI Security Standards Council zugelassenes Unternehmen zur Durchführung von Netzwerkscanservices für externe Schwachstellen.
Kann ich die Scanpflicht umgehen?
Nein, die Scanpflicht gilt verpflichtend ab dem 01.04.2024.
Tipp: Wer sich aber bis zum 27.03.2024 erneut im aktuellen PCI DSS 3.2.1 Standard zertifiziert, ist erst ab 2025 zum vierteljährlichen ASV-Scan nach PCI DSS 4.0 verpflichtet.
Was passiert ab dem 01.04.2024?
Wer sich nicht bis zum 27.03.2024 noch einmal nach dem noch aktuellen PCI 3.2.1 Standard zertifizieren lässt, wird spätestens mit der nächsten fälligen Zertifizierung zum vierteljährlichen ASV-Scan nach PCI 4.0 verpflichtet.
Beispiel 1: Stand letzte PCI Zertifizierung: 30.08.2023 bedeutet, dass PCI 4.0 am 30.08.2024 fällig ist.
Beispiel 2: Stand letzte PCI Zertifizierung: 27.03.2024, dass PCI 4.0 am 27.03.2025 fällig ist.
Was passiert, wenn ich nichts mache und ab dem 01.04.2024 keine Scans durchführe?
Fehlende Nachweise bedeuten nicht nur ein erhöhtes Sicherheitsrisiko in Form von Kreditkartendiebstahl und Missbrauch, sondern auch den Verlust der Kreditkartenakzeptanz. Ebenfalls können Sie seitens der Kreditkartenorganisationen mit teils hohen Geldstrafen belegt werden.
Du hast noch Fragen ?
usd AG
Frankfurter Straße 233, Haus C1
63263 Neu-Isenburg
www.usd.de
PCI Plattform der 1cs
PCI Competence Center
Telefon: +49 (0) 7805 91696 – 4856
E-Mail: support@pci.1cs.de
www.pci.1cs.de
Erreichbarkeit Montag bis Freitag:
08:00 – 18:00 Uhr
First Cash Solution GmbH
Okenstraße 7
77652 Offenburg
Telefon: +49 (0) 7805 91696 – 0
Fax: +49 (0) 7805 91696 – 4197
E-Mail: service@1cs.de
www.1cs.de