Heute veröffentlichte das PCI Security Standards Council (PCI SSC) eine geringfügige Berichtigung des PCI Data Security Standard (PCI DSS), den Unternehmen rund um den Globus anwenden, um die Zahlungskartendaten vor, während und nach der Kaufabwicklung zu schützen. Die PCI DSS Version 3.2.1 ersetzt Version 3.2, um den Gültigkeitsdaten und den abgelaufenen Secure Socket Layer (SSL)/early Transport Layer Security (TLS) Umstellungsfristen Rechnung zu tragen. Keine zusätzlichen Anforderungen werden an PCI DSS v3.2.1 gestellt. PCI DSS v3.2 behält seine Gültigkeit bis zum 31. Dezember 2018, die am 1. Januar 2019 erlischt.

Die geringfügigen Änderungen von PCI DSS v3.2.1 spiegeln wider, wie bestehende Anforderungen nach Ablauf der Gültigkeitsdaten und der SSL/TLS Umstellungsfristen betroffen sein werden, sodass die Organisationen genau Bericht erstatten können, wie ihre Implementierungen diese bestehenden Anforderungen nach dem 30. Juni erfüllen werden. Zu den Änderungen zählen insbesondere:

Entfernung von Hinweisen, die sich auf das Gültigkeitsdatum 1. Februar 2018 für einschlägige Anforderungen beziehen, da diese Frist abgelaufen ist. Aktualisierungen im Hinblick auf einschlägige Anforderungen und Anhang A2, um widerzuspiegeln, dass lediglich POS POI (Point of Sale/Verkaufspunkt - Point of Interaction/Interaktionspunkt) Terminals und ihre Service-Provider-Anschlussstellen weiterhin SSL/early TLS zur Sicherheitskontrolle nach dem 30. Juni 2018 verwenden dürfen. Entfernung der Multi-Faktor-Authentifizierung (MFA) aus dem Beispiel für ausgleichende Kontrolle in Anhang B, da die MFA inzwischen für alle administrativen Zugriffe über Netzwerkschnittstellen erforderlich ist. Hinzufügung eines Einmalpassworts als alternative potenzielle Kontrolle für dieses Szenario.

Die Aktualisierungen von PCI DSS v3.2.1 haben keinerlei Auswirkung auf den Payment Application Data Security Standard (PA-DSS), der im Rahmen von v3.2 unverändert bleiben wird.

PCI DSS v3.2.1 und eine Zusammenfassung der Änderungen von v3.2 gegenüber 3.2.1 stehen nun in der Document Library auf der Website von PCI SSC zur Verfügung. Aktualisierte Versionen des „SSL and Early TLS Information Supplement", der „Self-Assessment Questionnaires" (SAQ) und der „SAQ Instructions and Guidelines" werden in Kürze zur Unterstützung von PCI DSS v3.2.1 veröffentlicht.

Für weitere Informationen lesen Sie bitte den PCI Perspectives Blog Q&A mit Chief Technology Officer Troy Leach: PCI DSS Now and Looking Ahead.

