{"id":34061,"date":"2025-02-20T13:44:42","date_gmt":"2025-02-20T13:44:42","guid":{"rendered":"https:\/\/www.trustguard.eu\/unkategorisiert\/pci-dss-v4-0-1-verlangt-von-online-shops-die-durchfuehrung-eines-pci-website-scans\/"},"modified":"2025-02-27T13:50:06","modified_gmt":"2025-02-27T13:50:06","slug":"pci-dss-v4-0-1","status":"publish","type":"post","link":"https:\/\/www.trustguard.eu\/de\/blog-de\/pci-dss-v4-0-1\/","title":{"rendered":"PCI DSS v4.0.1 verlangt von Online-Shops die Durchf\u00fchrung eines PCI-Website-Scans"},"content":{"rendered":"

UPDATE:<\/h2>\n

PCISecurityStandards<\/a> hat u.a. die Anforderungen von 6.4.3 und 11.6.1 f\u00fcr SAQ-A Webshops ausgesetzt.
\nSiehe auch\u00a0https:\/\/blog.pcisecuritystandards.org\/important-updates-announced-for-merchants-validating-to-self-assessment-questionnaire-a<\/a><\/p>\n

\"pciAls PSP oder Online-Shop m\u00fcssen Sie nach dem neuesten Standard PCI DSS v4.0.1 nachweisen k\u00f6nnen, dass Skripte in Ihrem Warenkorb, die auch in den Browsern der Kunden geladen werden, von Ihnen bewusst eingef\u00fcgt und nicht von \u201eDritten\u201c unbefugt ver\u00e4ndert wurden. Ab dem 31. M\u00e4rz 2025 werden diese Sicherheitsanforderungen verpflichtend sein. Ein regelm\u00e4\u00dfiger Website-Scan mit PCI-Berichterstattung hilft Ihnen, diese Verpflichtung zu erf\u00fcllen. Zeit zum Handeln!<\/strong><\/p>\n

Hintergrund PCI DSS<\/h2>\n

Webshops verarbeiten t\u00e4glich sensible Kundendaten, wie z. B. Zahlungsinformationen, und sind damit ein beliebtes Ziel f\u00fcr Cyberkriminelle. Um sicherzustellen, dass Webshops sicher mit Zahlungsdaten wie Kartennummern umgehen, wurde 2004 der Payment Card Industry Data Security Standard (PCI DSS) von den Kreditkartenorganisationen Visa, Mastercard, JCB, American Express und Discover Financial Services ins Leben gerufen.)<\/p>\n

PCI verwendet 4 Stufen, um festzustellen, ob Sie sich auch f\u00fcr PCI zertifizieren lassen sollten. Ihr PSP oder Acquirer (Bank, die Kreditkartentransaktionen verarbeitet) kann Sie auffordern, einen PCI-SAQ (Self Assessment Questionnaire) auszuf\u00fcllen. Dar\u00fcber hinaus kann von Ihnen verlangt werden, die Sicherheit Ihrer Website mit einem PCI-Website-Schwachstellen-Scan zu \u00fcberpr\u00fcfen.<\/p>\n

Das PCI-Programm wird laufend aktualisiert, um neuen Anforderungen, neuen Entwicklungen im Internet und den von Hackern verwendeten Techniken Rechnung zu tragen. Erw\u00e4gen Sie zum Beispiel, TLS 1.0 nicht mehr zu verwenden. Sie k\u00f6nnen dies mit einem viertelj\u00e4hrlichen PCI-Scan nachweisen, wenn Ihr PSP Sie dazu auffordert.<\/p>\n

Was wird sich mit PCI DSS v4.0.1 \u00e4ndern?<\/h2>\n

Neu ist, dass PCI den Schwerpunkt auf die Verwendung von Skripten auf Ihrer Checkout-Seite legt. Denn bereits auf der Bezahlseite im Einkaufskorb kann ein Hacker mit einem benutzerdefinierten Skript versuchen, Ihre Kunden auf eine andere Website umzuleiten, die der Bezahlseite eines Zahlungsdienstleisters sehr \u00e4hnlich ist. Die dort von ahnungslosen Kunden eingegebenen Kartennummern fallen so in die H\u00e4nde von Hackern und Betr\u00fcgern.<\/p>\n

PCI 6.4.3 (die \u201eBedingung\u201c)<\/strong>
\nF\u00fcr alle Skripte auf Ihrer Zahlungsseite, die im Browser des Kunden geladen und ausgef\u00fchrt werden, m\u00fcssen Sie nachweisen k\u00f6nnen,:<\/p>\n