SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

PCI-Konfor­mität erfordert Know-How und Ressourcen.“ SRC-Expertin Jana Ehlers erläutert im gerade auf der Fach-Plattform „All About Security“ erschie­nenen Artikel die verschie­denen PCI-Sicher­heits­stan­dards.

Angesichts der in Pandemie-Zeiten steigenden Anzahl an Karten­zah­lungen ist der Schutz von Zahlkar­ten­daten ein sehr aktuelles Thema.

Alle PCI Standards zielen auf den Schutz von Zahlkar­ten­daten der inter­na­tio­nalen Zahlungs­systeme ab. Allein beim bekann­testen Standard, dem PCI DSS, gibt es rund 250 Einzel­an­for­de­rungen. Werden diese bereits beim Aufbau von Netzwerken und Struk­turen berück­sichtigt, spart man sich häufig aufwändige und teure Nachrüs­tungen. Aber auch die dauer­hafte Aufrecht­erhaltung der PCI DSS-Konfor­mität stellt Firmen vor Heraus­for­de­rungen.

SRC prüft und berät zu PCI-Standards seit deren Entstehung im Jahr 2006. Diese Erfahrung kann genutzt werden, um die Inten­tionen der PCI-Standards richtig zu verstehen und zu berück­sich­tigen. SRC begleitet durch den gesamten Prozess. Damit ist nicht nur PCI-Konfor­mität auf verständ­lichem Weg erreichbar, sondern auch ein großes Stück mehr Sicherheit für die schüt­zens­werten Zahlkar­ten­daten der Kunden.

SRC durch das PCI SSC als SPoC/CPoC Lab anerkannt

SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt

Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durch­führung von Sicher­heits­un­ter­su­chungen von SPoC und CPoC Lösungen anerkannt.

Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handels­üb­lichen mobilen Endge­räten entgegen nehmen.

Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.

Eine SPoC Lösung besteht aus vier Kern-Kompo­nenten:

  • einem Secure Card Reader for PIN (SCRP), einem externen und PCI PTS zugelas­senen Karten­leser,
  • einer geprüften PIN CVM App für die sichere PIN-Eingabe auf dem handels­üb­lichen mobilen Endgerät des Händlers,
  • dem mobilen Endgerät des Händlers (COTS device) wie z.B. einem Smart­phone oder einem Tablet, sowie
  • einem Hinter­grund­system, das maßgeblich mittels Attes­tierung, Monitoring und Processing zur Sicherheit des Gesamt­systems beiträgt.

Mit CPoC hat das PCI SSC Anfor­de­rungen an Lösungen für die Verar­beitung von kontakt­losen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handels­üb­lichen mobilen Endge­räten (commercial off-the-shelf, COTS), wie z.B. Smart­phones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnitt­stelle entwi­ckelt.

Mit den Programmen SPoC und CPoC bedient das PCI SSC die zuneh­mende Nachfrage nach neuen und sicheren Akzep­t­anz­lö­sungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobil­te­le­fonen und Tablets. Die dazuge­hö­rigen Prüfungen werden nun auch von SRC durch­ge­führt.

Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innova­tiven Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahl­lö­sungen in Anspruch nehmen.

PCI DSS-Orientierungshilfe für große Organisationen

PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen veröf­fent­licht

SRC Security Research & Consulting GmbH hat an der aktuellen Special Interest Group (SIG) des PCI (Payment Card Industry) Security Standards Council mitge­wirkt. Die aus der SIG entstandene PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen wurde jetzt veröf­fent­licht.

Komplexe Organi­sa­tionen, Konzerne und Unter­nehmen stehen oft vor spezi­fi­schen Heraus­for­de­rungen bei der Umsetzung von Anfor­de­rungen des PCI DSS (Payment Card Industry Data Security Standards): der Hetero­ge­nität ihrer Infra­struk­turen und Prozesse, der ständigen Verän­derung von Unter­neh­mens­struk­turen, dem Umgang mit vielfäl­tigen Anfor­de­rungen, Verant­wort­lich­keiten und Verwal­tungs­auf­gaben.
In der neuen Orien­tie­rungs­hilfe wird erläutert, wie große und/oder komplexe Unter­nehmen ihre PCI-DSS-Aktivi­täten unter­neh­mensweit koordi­nieren und verwalten können.

  • PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen // zum Dokument.