news-pci-3.1_1.juli_.png

PCI DSS 3.1 – Anforderungen zum 01. Juli 2015

Ab dem 01. Juli 2015 werden einige Anforderungen des PCI DSS Version 3, die bislang nur als Best Practice Empfehlung galten, verbindlich.

Wir haben für Sie zusammengefasst, welche Anforderungen für Händler und Dienstleister verpflichtend werden.

Der vom PCI Security Standards Council veröffentlichte Standard in der Version 3.1. enthält weitere Informationen zu den verbindlichen Anforderungen. Aktuell sind alle Dokumente der Version 3.1 nur in Englisch verfügbar.

PCI DSS Anforderungen

Anforderung 6.5.10

Die Richtlinien zur sicheren Softwareentwicklung müssen Vorgaben und Anweisungen enthalten, die einer unsicheren Authentifizierung und Session Verwaltung entgegenwirken. Schulen Sie Ihre Entwickler!

Anforderung 9.9

Bezahlterminals müssen vor Manipulation und unberechtigtem Austausch geschützt werden. Diese Anforderung gilt für Kartenlesegeräte, die bei Vor-Ort-Transaktionen eingesetzt werden und bei denen die Karte durch das Gerät gezogen oder in das Gerät eingesteckt werden muss. Nicht zu berücksichtigen sind Komponenten zur manuellen Eingabe wie Computertastaturen und POS-Ziffernblöcke.

9.9.1 Führen Sie eine aktuelle Inventarliste aller Bezahlterminals, in der Modelbezeichnung, Seriennummer und Standort aufgeführt sind.

9.9.2 Überprüfen Sie die Geräte regelmäßig auf Spuren von Manipulation, wie z.B. auf Anbringen von Skimming-Technik, oder auf unberechtigten Austausch – stimmen beispielsweise die Seriennummer oder andere Gerätemerkmale, oder wurde das Gerät durch ein anderes unberechtigterweise ausgetauscht.

9.9.3 Schulen Sie Ihre Mitarbeiter und fördern Sie das Bewusstsein zur Identifikation von Manipulations- oder Austauschversuchen und deren Meldung.

Anforderung 11.3

Erfordert der PCI-DSS-Konformitätsnachweis die Durchführung von Penetrationstests, müssen diese nun einer dokumentierten und branchenweit akzeptierten Vorgehensweise entsprechen. Neben den bereits bekannten Anforderungen und Umfang der Penetrationstests, ist die Validierung der eingesetzten Netzwerksegmentierung und der Scope-Reduzierung hinzugekommen. Bei den Prüfungen sind alle Bedrohungen und Schwachstellen der vergangenen zwölf Monate zu berücksichtigen. Weiterhin muss die Methodik auf die Aufbewahrungszeit der Ergebnisse des Penetrationstests eingehen als auch auf die nochmalige Überprüfung der umgesetzten Behebungsmaßnahmen, bei erkannten Schwachstellen.

Anforderungen nur für Service Provider

Anforderung 8.5.1

Verwendet ein Dienstleister einen Fernzugriffsdienst (Remote-Access), um auf Kundensysteme zuzugreifen und diese beispielsweise zu warten, müssen für jede Kundenumgebung individuelle Authentifizierungsdaten verwendet werden. Dies kann durch eindeutige Passwörter oder Passphrasen oder z.B. durch den Einsatz Einmaltokens erfolgen.
Diese Anforderung gilt nicht für Anbieter von Shared-Hosting-Services, die auf ihre eigene Hosting-Umgebung, in der mehrere Kundenumgebungen gehostet werden, zugreifen möchten.

Anforderung 12.9

Dienstleister müssen ihren Kunden schriftlich bestätigen, dass sie für die Sicherheit der Kreditkarteninhaberdaten haften, die sich in ihrem Besitz befinden bzw. die sie für ihre Kunden speichern, verarbeiten oder übertragen. Falls ein Dienstleister keine Berührung mit Karteninhaberdaten hat, aber Einfluss auf die Sicherheit der Kreditkarteninhaberdaten-Umgebung besitzt, hat er diese Verantwortlichkeit dem Kunden schriftlich zu bestätigen.

Sie haben Fragen zu PCI DSS 3.1? Sprechen Sie uns gerne an.

Related Posts