Bereits seit März 2024 gilt die Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) – ein Standard, der die Sicherheit von Kreditkartentransaktionen gewährleisten soll. Ab März 2025 werden nun einige Regelungen, die bisher lediglich als Best Practice galten, ebenfalls verpflichten. Welche das sind und was das für Online-Händler bedeutet, erfahren Sie in diesem Artikel.

Was ist PCI 4.0?

PCI DSS ist ein Sicherheitsstandard der Zahlungsverkehrsindustrie. Er soll dafür sorgen, dass alle Unternehmen, die Kartendaten verarbeiten, speichern oder übertragen, die Sicherheit der Daten gewährleisten.

Die erste Version von PCI DSS wurde bereits 2006 eingeführt. Seitdem hat sich der Standard konsequent weiterentwickelt, um technologischen Änderungen und neuen Bedrohungen Rechnung zu tragen.

Die neueste Entwicklung des Standards – PCI DSS v4.0 – wurde bereits am 31. März 2022 veröffentlicht und trat zum ersten April 2024 in Kraft. Einige der darin beschriebenen Regeln galten jedoch zunächst nur als Best Practices. Zum 31. März 2025 werden jedoch auch diese zusätzlichen Regeln verpflichtend.

Diese Best Practices werden ab März 2025 Pflicht:

1. Admin-Passwörter müssen mindestens 12 Zeichen haben

Admin-Passwörter müssen künftig mindestens 12 Zeichen lang sein. Ein Passwortmanager kann hierbei helfen, die Länge und Komplexität der Passwörter zu verwalten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

2. Zwei-Faktor-Authentifizierung (2FA) wird Pflicht

2FA fügt eine zusätzliche Sicherheitsebene für Admin-Logins hinzu. Neben dem Passwort ist ein zweiter Faktor erforderlich, wie z.B. ein Einmal-Code per Authenticator-App oder ein USB-Schlüssel. Dadurch wird der Zugriff auf das Backend selbst bei kompromittiertem Passwort erschwert.

3. Content Security Policy (CSP) wird Pflicht

Eine Content Security Policy (CSP) schützt Zahlungsseiten vor bösartigen Inhalten, indem sie festlegt, welche externen Ressourcen geladen werden dürfen. Angriffe wie Cross-Site-Scripting und schädliche Skripte werden so effektiv blockiert, Manipulationen sofort erkannt, und der Checkout bleibt sicher und vertrauenswürdig.

4. Externe Security-Scans alle 90 Tage werden Pflicht

Alle 90 Tage müssen externe Security-Scans von einem PCI-zertifizierten Scanning-Anbieter (ASV) durchgeführt werden. Dies gilt für Händler-Websites, die Zahlungen an einen Drittanbieter (TPSP) weiterleiten oder eine eingebettete Zahlungsseite des Payment Service Providers verwenden. Diese Scans sollen helfen, Sicherheitslücken frühzeitig zu identifizieren und abzusichern.

Wer ist davon betroffen?

Grundsätzlich gelten die Regelungen der PCI DSS 4.0 für alle Online-Händler. Besonders betroffen sind natürlich all jene Unternehmen, die Kreditkartenzahlungen in ihrem Shop anbieten. Dabei ist es egal, ob Kreditkartendaten per Iframe im Checkout eingegeben oder per Redirect an einen Payment Service Provider geleitet werden.

Diese Neuerungen sind kein Selbstzweck. Er verbessert die Sicherheit von Zahlungsprozessen im E-Commerce und stärkt somit das Vertrauen der Kunden in die Transaktionssicherheit. Denn ein sicherer Checkout-Prozess ist entscheidend, um die sensiblen Zahlungsdaten der Kunden zu schützen.

Stellen Sie unbedingt sicher, dass Ihre Zahlungsplattform PCI-konform ist und auch die neuen Anforderungen erfüllt!