PCI DSS v4.0-Veröffentlichung verzögert sich

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröf­fent­li­chung einer neuen, grund­legend überar­bei­teten Version des Zahlungs­ver­kehrs­stan­dards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durch­laufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgel­tenden Dokumente, insbesondere

  • die Vorlage für den Report on Compliance (ROC)
  • die Vorlage für die Attestation of Compliance (AOC), und
  • die Self-Assessment Questi­onn­aires (SAQs)

im Juni 2021 einer RFC-Phase zu unter­ziehen. Damit wird sich aber auch die Veröf­fent­li­chung des PCI DSS v4.0 weiter verzögern.

Statt des angekün­digten Veröf­fent­li­chungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröf­fent­licht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzö­gerung der Veröf­fent­li­chung verschieben sich ebenso die geplanten Übergangs­fristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

„PCI-Konfor­mität erfordert Know-How und Ressourcen.“ SRC-Expertin Jana Ehlers erläutert im gerade auf der Fach-Plattform „All About Security“ erschie­nenen Artikel die verschie­denen PCI-Sicherheitsstandards.

Angesichts der in Pandemie-Zeiten steigenden Anzahl an Karten­zah­lungen ist der Schutz von Zahlkar­ten­daten ein sehr aktuelles Thema.

Alle PCI Standards zielen auf den Schutz von Zahlkar­ten­daten der inter­na­tio­nalen Zahlungs­systeme ab. Allein beim bekann­testen Standard, dem PCI DSS, gibt es rund 250 Einzel­an­for­de­rungen. Werden diese bereits beim Aufbau von Netzwerken und Struk­turen berück­sichtigt, spart man sich häufig aufwändige und teure Nachrüs­tungen. Aber auch die dauer­hafte Aufrecht­erhaltung der PCI DSS-Konfor­mität stellt Firmen vor Herausforderungen.

SRC prüft und berät zu PCI-Standards seit deren Entstehung im Jahr 2006. Diese Erfahrung kann genutzt werden, um die Inten­tionen der PCI-Standards richtig zu verstehen und zu berück­sich­tigen. SRC begleitet durch den gesamten Prozess. Damit ist nicht nur PCI-Konfor­mität auf verständ­lichem Weg erreichbar, sondern auch ein großes Stück mehr Sicherheit für die schüt­zens­werten Zahlkar­ten­daten der Kunden.

SRC durch das PCI SSC als SPoC/CPoC Lab anerkannt

SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt

Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durch­führung von Sicher­heits­un­ter­su­chungen von SPoC und CPoC Lösungen anerkannt.

Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handels­üb­lichen mobilen Endge­räten entgegen nehmen.

Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.

Eine SPoC Lösung besteht aus vier Kern-Komponenten:

  • einem Secure Card Reader for PIN (SCRP), einem externen und PCI PTS zugelas­senen Kartenleser,
  • einer geprüften PIN CVM App für die sichere PIN-Eingabe auf dem handels­üb­lichen mobilen Endgerät des Händlers,
  • dem mobilen Endgerät des Händlers (COTS device) wie z.B. einem Smart­phone oder einem Tablet, sowie
  • einem Hinter­grund­system, das maßgeblich mittels Attes­tierung, Monitoring und Processing zur Sicherheit des Gesamt­systems beiträgt.

Mit CPoC hat das PCI SSC Anfor­de­rungen an Lösungen für die Verar­beitung von kontakt­losen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handels­üb­lichen mobilen Endge­räten (commercial off-the-shelf, COTS), wie z.B. Smart­phones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnitt­stelle entwickelt.

Mit den Programmen SPoC und CPoC bedient das PCI SSC die zuneh­mende Nachfrage nach neuen und sicheren Akzep­t­anz­lö­sungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobil­te­le­fonen und Tablets. Die dazuge­hö­rigen Prüfungen werden nun auch von SRC durchgeführt.

Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innova­tiven Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahl­lö­sungen in Anspruch nehmen.

PCI DSS-Orientierungshilfe für große Organisationen

PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen veröffentlicht

SRC Security Research & Consulting GmbH hat an der aktuellen Special Interest Group (SIG) des PCI (Payment Card Industry) Security Standards Council mitge­wirkt. Die aus der SIG entstandene PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen wurde jetzt veröffentlicht.

Komplexe Organi­sa­tionen, Konzerne und Unter­nehmen stehen oft vor spezi­fi­schen Heraus­for­de­rungen bei der Umsetzung von Anfor­de­rungen des PCI DSS (Payment Card Industry Data Security Standards): der Hetero­ge­nität ihrer Infra­struk­turen und Prozesse, der ständigen Verän­derung von Unter­neh­mens­struk­turen, dem Umgang mit vielfäl­tigen Anfor­de­rungen, Verant­wort­lich­keiten und Verwaltungsaufgaben.
In der neuen Orien­tie­rungs­hilfe wird erläutert, wie große und/oder komplexe Unter­nehmen ihre PCI-DSS-Aktivi­täten unter­neh­mensweit koordi­nieren und verwalten können.

  • PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen // zum Dokument.