news-pci-3.1_requirement-9.9.png

PCI DSS – Ein Blick auf den Schutz Ihrer Bezahlterminals

In unserer Reihe „PCI DSS – Was ist neu?“ stellen wir Ihnen in regelmäßigen Abständen Neuerungen aus dem Payment Card Data Security Standard (PCI DSS) vor und erläutern, wie Sie damit umgehen sollten.

Wir hoffen, Ihnen damit wertvolle Hinweise für mehr Sicherheit zu geben. Heute:

Requirement 9.9 – Was müssen Sie zum Schutz Ihrer Bezahlterminals beachten?

Während in den letzten Jahren die EMV Chip Technologie (Chip & Pin) und andere technologische Maßnahmen zur effektiven Reduzierung von Kartenmissbrauch beigetragen haben, nehmen die physischen Angriffe und Manipulationen der Bezahlterminals am Point of Sale weiter zu.

Im Requirement 9.9 des PCI DSS der Version 3.0/3.1 reagiert das PCI Security Standards Council auf diesen Negativ-Trend und formuliert konkrete Anforderungen zur Verbesserung der physischen Sicherheit Ihrer Bezahlterminals. Bislang als Best Practice Empfehlungen vorgesehen, werden die hier formulierten Anforderungen zum 01. Juli 2015 für Händler verbindlich zum Erhalt ihrer PCI DSS Compliance.

Was umfasst Requirement 9.9?

Zusammenfassend umfasst das Requirement 9.9 folgende Anforderungen:

  • Erstellen und Pflegen Sie eine Inventarliste Ihrer Bezahlterminals/Devices

  • Untersuchen Sie in regelmäßigen Abständen Ihre Bezahlterminals /Devices nach Manipulationen („Skimming“) und überprüfen Sie, ob ein unzulässiger Austausch stattgefunden hat.

  • Schulen Sie Ihre Mitarbeiter so, dass sie auffälliges Verhalten und Manipulationsversuche bzw. unzulässigen Austausch von Bezahlterminals erkennen und melden (Security Awareness Trainings). Kommunizieren Sie die Reparaturprozesse für Bezahlterminals und verhindern so den Austausch von Geräten durch unautorisiertes Reparaturpersonal

  • Alle genannten Anforderungen müssen zusätzlich in entsprechenden Richtlinien und Prozessen beschrieben und mit Zuständigkeiten versehen worden sein. Details entnehmen Sie bitte dem PCI DSS Anforderungskatalog.

    Muss ich mein Bezahlterminal nun zwingend auch physisch absichern, z.B. mit einem Kensington Schloss?

    Nein, dies ist keine zwingende Anforderung zum Erhalt Ihrer PCI DSS Compliance, lediglich eine Empfehlung. Sollten Sie also oben genannte Anforderungen alle wie im Standard beschrieben erfüllen, ist dies ausreichend.

    Related Posts