Payment Card Industry Standard Data Security - PCI DSS
Seit 2005 gibt es bereits PCI-Sicherheitsstandards, die anfänglich gemeinsam von den Kartenorganisationen Visa und Mastercard definiert wurden. Diese wurden im Laufe der Jahre immer wieder verbessert und auch andere Kartenorganisationen beteiligten sich daran.
Als konsequente Reaktion auf den digitalen Diebstahl von Kartendaten bei Firmen und den sich verändernden Bedrohungen, wurde der Payment Card Industry Data Security Standard (PCI DSS) nun weiterentwickelt. Der Sicherheitsstandard PCI DSS in der Version 3.2 fordert konsequenten Einsatz von Multifaktor-Authentifizierung und organisatorische Verbesserungen.
Ab sofort müssen Banken, Händler und andere Firmen, die Kreditkartendaten verarbeiten, den remote Zugang z.B. über das Internet mit Multifaktor-Authentifizierung absichern. Der PCI DSS legt Mindestvoraussetzungen fest, die von allen Mitgliedsbanken, Händlern und Dienstleistern einzuhalten sind, die Karteninhaberdaten der fünf internationalen Zahlungssysteme American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. speichern, verarbeiten oder übermitteln.
Neuerungen in PCI DSS 3.2
In der vom PCI Security Standards Council am 28.04.2016 verabschiedeten Version 3.2 wurden Klarstellungen und Hilfestellungen in den Anforderungskatalog integriert, um die eigentliche Intention der einzelnen Anforderungen deutlicher hervorzuheben. Des Weiteren wurden neue oder erweiterte An-forderungen entwickelt, um neuen Gefährdungen und Marktveränderungen geeignet zu begegnen. Die wichtigsten Neuerungen kompakt zusammen gefasst:
- Multi-Faktor-Authentifizierung für alle Nutzer und Administratoren, die über Fernzugriff auf die Karteninhaberdaten verarbeitende Umgebung zugreifen
(Cardholder Data Environment oder CDE). - Dienstleister müssen die kryptografische Architektur dokumentieren und vorhalten.
- Dienstleister müssen einen Prozess zur frühzeitigen Erkennung, Dokumentation und Reaktion auf Fehler bei kritischen Sicherheitskontrollsystemen etablieren.
- Dienstleister müssen genutzte Segmentierungsmaßnahmen und -methoden im Rahmen von Penetrations-Tests regelmäßig alle sechs Monate sowie bei einer Veränderung der Maßnahmen und Methoden zur Segmentierung auf ihre Wirksamkeit untersuchen lassen.
- Die Unternehmungsleitung eines Dienstleisters muss Verantwortlichkeiten zum Schutz von Karteninhaberdaten und für ein PCI-DSS-Konformitätsprogramm etablieren.
- Dienstleister müssen quartalsweise überprüfen, ob das Personal die Sicherheitspolitik und die Arbeitsanweisungen befolgen.
- Erweiterung der Change-Management-Prozesse um eine Analyse, ob und welche PCI-DSS-Anforderungen für die Änderungen anzupassen oder neu einzuführen sind.
Auditoren in Form der durch das PCI SSC zugelassenen, sogenannten Qualified Security Assessors überprüfen als unabhängige Dritte weltweit die Umsetzung unter anderem durch vor Ort Begehungen bei Dienstleistern und großen Händlern. Bis zum 31. Oktober darf wahlweise noch nach dem alten Standard PCI DSS 3.1 getestet werden; ab da ist dann die Anwendung der Version 3.2 verbindlich. Für die Umsetzung neuer Anforderungen gibt es noch eine Frist bis zum 1. Februar 2018, bis zu der diese nur als "Best Practices" gelten.
Qualified Security Assessors in Deutschland:
SRC Research & Consulting GmbH
Telefon: +49 (0) 228 / 2806 - 0
Telefax: +49 (0) 228 / 2806 - 199
E-Mail: sdpais@src-gmbh.de
Adsigo AG
Adsigo PCI Team
Telefon: +49 (0) 176 1235 0900
E-Mail: sales@adsigo.com
usd AG
PCI Competence Center
Telefon: +49 (0) 06102 8631 - 0
Telefax: +49 (0) 06102 8631 - 99
E-Mail: pci@usd.de
