UPDATE:
PCISecurityStandards hat u.a. die Anforderungen von 6.4.3 und 11.6.1 für SAQ-A Webshops ausgesetzt.
Siehe auch https://blog.pcisecuritystandards.org/important-updates-announced-for-merchants-validating-to-self-assessment-questionnaire-a
Als PSP oder Online-Shop müssen Sie nach dem neuesten Standard PCI DSS v4.0.1 nachweisen können, dass Skripte in Ihrem Warenkorb, die auch in den Browsern der Kunden geladen werden, von Ihnen bewusst eingefügt und nicht von „Dritten“ unbefugt verändert wurden. Ab dem 31. März 2025 werden diese Sicherheitsanforderungen verpflichtend sein. Ein regelmäßiger Website-Scan mit PCI-Berichterstattung hilft Ihnen, diese Verpflichtung zu erfüllen. Zeit zum Handeln!
Hintergrund PCI DSS
Webshops verarbeiten täglich sensible Kundendaten, wie z. B. Zahlungsinformationen, und sind damit ein beliebtes Ziel für Cyberkriminelle. Um sicherzustellen, dass Webshops sicher mit Zahlungsdaten wie Kartennummern umgehen, wurde 2004 der Payment Card Industry Data Security Standard (PCI DSS) von den Kreditkartenorganisationen Visa, Mastercard, JCB, American Express und Discover Financial Services ins Leben gerufen.)
PCI verwendet 4 Stufen, um festzustellen, ob Sie sich auch für PCI zertifizieren lassen sollten. Ihr PSP oder Acquirer (Bank, die Kreditkartentransaktionen verarbeitet) kann Sie auffordern, einen PCI-SAQ (Self Assessment Questionnaire) auszufüllen. Darüber hinaus kann von Ihnen verlangt werden, die Sicherheit Ihrer Website mit einem PCI-Website-Schwachstellen-Scan zu überprüfen.
Das PCI-Programm wird laufend aktualisiert, um neuen Anforderungen, neuen Entwicklungen im Internet und den von Hackern verwendeten Techniken Rechnung zu tragen. Erwägen Sie zum Beispiel, TLS 1.0 nicht mehr zu verwenden. Sie können dies mit einem vierteljährlichen PCI-Scan nachweisen, wenn Ihr PSP Sie dazu auffordert.
Was wird sich mit PCI DSS v4.0.1 ändern?
Neu ist, dass PCI den Schwerpunkt auf die Verwendung von Skripten auf Ihrer Checkout-Seite legt. Denn bereits auf der Bezahlseite im Einkaufskorb kann ein Hacker mit einem benutzerdefinierten Skript versuchen, Ihre Kunden auf eine andere Website umzuleiten, die der Bezahlseite eines Zahlungsdienstleisters sehr ähnlich ist. Die dort von ahnungslosen Kunden eingegebenen Kartennummern fallen so in die Hände von Hackern und Betrügern.
PCI 6.4.3 (die „Bedingung“)
Für alle Skripte auf Ihrer Zahlungsseite, die im Browser des Kunden geladen und ausgeführt werden, müssen Sie nachweisen können,:
- dass das Skript mit Ihrer Zustimmung platziert wurde
- und dass das Skript nicht ohne Ihre Zustimmung geändert (oder gelöscht) wurde.
Dazu müssen Sie in der Lage sein, zu dokumentieren, welche Skripte von Ihnen platziert wurden, einschließlich der Berichterstattung (der Scans), die es Ihnen ermöglicht, diese Überprüfung und Integrität der Skripte zu beweisen..
PCI 11.61.1 (die Lösung)
- Sie haben eine Kontrolle implementiert, die Ihr Unternehmen auf (nicht autorisierte) Änderungen aufmerksam macht, einschließlich der Unterschiede und Auswirkungen auf die http-Header, wie sie vom Browser des Kunden verarbeitet werden.
- Die verwendete Überwachungslösung muss in der Lage sein, den http-Header und die Zahlungsseite auszuwerten.
- Die Überwachung erfolgt mindestens einmal alle sieben Tage oder in regelmäßigen Abständen entsprechend der Risikoanalyse nach 12.3.1
Kurz gesagt: Um dies zu erfüllen, MÜSSEN Sie einen PCI-Scan verwenden
Sie müssen nachweisen können, dass die Skripte in Ihrem Warenkorb, die auch in den Browsern Ihrer Kunden geladen werden, von Ihnen bewusst eingefügt und nicht von „Dritten“ unbefugt verändert wurden, auch nicht auf der http-Ebene. Das bedeutet, dass Ihre Website in regelmäßigen Abständen gescannt werden muss und dass Sie mittels PCI-Reporting nachweisen müssen, dass bei einem neuen PCI-Scan die Skripte nicht verändert wurden (entweder von Ihnen selbst, aber nicht von Dritten).
PCI DSS v4.0.1 ist bis zum 31. März 2025 Pflicht!
Möchten Sie wissen, ob Ihr Webshop die neuesten Sicherheitsanforderungen erfüllt?
