PCI DSS
PCI DSS
Payment Card Industry Data Security Standard v 1.2
© fotolia.com - Volker Pape
Payment Card Industry Data Security Standard v 1.2
© fotolia.com - Volker Pape
Titel: | Informationstechnik |
Arbeitsgebiet: | IT-Sicherheitsverfahren |
Name des Standards: | Payment Card Industry Data Security Standard v 1.2 |
Inhalt und Anwendungsbereich
Der Payment Card Industry Data Security Standard (PCI DSS) stellt ein Sicherheitsrahmenwerk dar und enthält eine umfassende Anforderungsliste an die Kontrollen der Bereiche physikalische und logische Sicherheit. Das Ziel des Standards ist die Verbesserung der Sicherheit von Kreditkartendaten und des Online-Zahlungsverkehrs, sofern dieser über Kreditkartenzahlungen abgewickelt wird.
Der PCI DSS wurde von den führenden Kreditkartenunternehmen entwickelt und erstmals 2005 veröffentlicht. Er richtet sich an alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übermitteln.
Methodik
Der Standard liefert keine konkrete Methodik. Vielmehr definiert er sechs abstrakte Kontrollziele, aufgeteilt in zwölf Anforderungsbereiche mit über 230 Detailanforderungen. Die Kontrollziele sind für die gesamte Umgebung umzusetzen, welche Kreditkartendaten bearbeitet, speichert oder überträgt beziehungsweise daran angeschlossen ist.
Die Anforderungsbereiche sind:
Der Standard fordert darüber hinaus den Einsatz von Sicherheitstechnologien, wie beispielsweise Virenscanner, Firewalls, Application-Layer-Firewalls oder Vulnerability-Scanner.
Können aus technischen oder geschäftlichen Gründen einzelne Kontrollen nicht erfüllt werden, können sogenannte Kompensationskontrollen eingeführt werden, die aber mindestens genauso stark sein müssen als die zu ersetzende Kontrollen.
Zertifizierung
Einzelhändler oder Dienstleister, die mehr als 1.000.000 Transaktionen pro Jahr ausführen müssen ihre Netzwerksicherheit von einem Approved Scanning Vendor (ASV) prüfen lassen. Die Experten eines ASV führen einen Schwachstellenscan des Netzwerks durch.
Die Einhaltung der weiteren Anforderungen des Standards wird durch externe Parteien (sogenannte Qualified Security Assessor (QSA)) geprüft und bescheinigt.
Zur Aufrechterhaltung des Zertifikats muss der Schwachstellenscan quartalsweise wiederholt und die Erfüllung der weiteren gestellten Anforderungen jährlich durch einen Assessor bescheinigt werden.
Unternehmen mit weniger als 1.000.000 Transaktionen müssen die Anforderungen durch ein jährliches Selbsttestat und einen vierteljährlichen Schwachstellenscan durch einen ASV bestätigen.
Weitere Anmerkungen
Betroffene Unternehmen, die sich nicht an die Vorgaben dieses Standards halten, können mit Strafzahlungen und Sanktionen – bis hin zum Ausschluss der Teilnahme am Kreditkartenzahlungsverkehr belegt werden.
Der Standard ist auf der Webseite des PCI Security Standard Council www.pcisecuritystandards.org kostenfrei erhältlich.
Bisherige Ausgaben
PCI DSS 1.0: 2006
PCI DSS 1.1: 2007
PCI DSS 1.2: 2008
PCI DSS |
|
||||||
Richtlinie VDI/VDE2182 |
|
||||||
Cobit |
|
||||||
ITIL |
|