Imprint/Impressum
Deutsch
English
Payment Card Industry [PCI]
  PCI DSS Services
  PA-DSS Services
  PCI PIN Security
Compliance Software Solutions
  Händlerzertifizierung
  Acquirer Compliance Solution
Unternehmen
  Kunden
  Management
  Zertifizierungen
  Karriere
  Kontakt
Aktuelles
  News Flash
HOME AktuellesNews Flash


News Flash

Issue 5 - September 2008

PCI DSS Version 1.2

Nach der Sommerpause die aktuellsten Informationen zur Version 1.2 des PCI DSS. Die wichtigste Information vorneweg: Version 1.2 bringt keine verschärfenden Anforderungen.

Das PCI Council veröffentlicht zum 1. Oktober 2008 die Version 1.2 des PCI Data Security Standards. Diese Version beinhaltet in erster Linie Klarstellungen und kleinere Anpassungen in einzelnen Anforderungen. Neue Anforderungen wurden in diese Version nicht aufgenommen, so dass Auswirkungen auf Ihre bestehenden Compliance-Status nicht zu erwarten sind.

Um Ihnen einen schnellen Überblick zu geben finden Sie in den nachfolgenden Abschnitten eine Zusammenfassung der wesentlichen Änderungen. Die neue Version des Standards und begleitende Informationen finden Sie ab dem 1. Oktober auch auf den Webseiten des PCI Council ( www.pcisecuritystandards.org). Basierend auf dieser neuen PCI DSS-Version werden voraussichtlich kurzfristig entsprechend angepasste Versionen des SAQ (Self Assessment Questionnaire) und des PA-DSS (Payment Application Standard) erscheinen. Wir halten Sie auf dem Laufenden.

Die wesentlichen Änderungen im Einzelnen:

Requirement 1.1.6: Die Vorgabe zur Überprüfung des Firewall-Regelwerkes wird gelockert. War bisher eine quartalsweise Prüfung erforderlich, so wird ab Oktober eine Prüfung alle 6 Monate als ausreichend angesehen. Dadurch ist eine bessere Anpassung an Ihr eigenes Risikomanagement möglich.

Requirement 2.1.1 und Requirement 4.1.1: Die Version 1.2 verweist nicht mehr auf den ehemaligen Standard-Verschlüsselungsalgorithmus WEP, da dieser verschiedene Schwachstellen enthält und mittlerweile als unsicher eingestuft wird. Zum Schutz der Daten von Kreditkartenkunden ist die Neu-Implementierung von WEP nach dem 31. März 2009 nicht mehr erlaubt. In laufenden Systemen muss WEP bis zum 30. Juni 2010 ersetzt werden. Die Verwendung des SSID (Service Set Identifier) im WLAN wird hingegen nicht mehr eingeschränkt.

Requirement 5.1:Der Standard 1.2 stellt klar, dass die Verwendung von Anti-Virus Programmen für alle Systeme obligatorisch ist, welche üblicherweise von Viren betroffen sein können. Die bisherige Auslegung, das UNIX-Systeme üblicherweise nicht davon betroffen sind, wurde entfernt. Es ist nun zu prüfen, dass auf Systemen für die Virenscanner-Lösungen verfügbar sind, diese auch eingesetzt werden. Darüber hinaus wird nochmals darauf hingewiesen, dass die eingesetzten Programme auf dem neuesten Stand und damit in der Lage sein müssen, alle bekannten Virenarten zu erkennen.

Requirement 6.1: Die bisherige Anforderung, dass immer die aktuellsten Patches installiert werden müssen, wurde durch einen risikoorientierten Ansatz ersetzt. Hierbei kann der Zeitraum bis zum Einspielen von Patches abhängig von der Kritikalität der betroffenen Systeme abhängig gemacht werden und damit ein Patch in einem Zeitraum zwischen einem und drei Monaten installiert werden.

Requirement 6.6: Bezüglich der Überprüfung der Sicherheit von Web-Anwendungen wird die bisher optionale Forderung nach einer Application-Layer Firewall (WAF) oder einem externen Code Review der betroffenen Applikation als verpflichtende Anforderung geführt. Die bisherige Regelung für die Durchführung eines Code-Reviews durch eine spezialisierte externe Firma wird ergänzt durch die Möglichkeit den Code Review manuell oder durch automatisierte Tools durchzuführen. Zusätzlich wurde die Beschränkung der Durchführung auf eine externe Firma um die Möglichkeit der Durchführung mit internen Mitarbeitern erweitert, welche über eine entsprechende Qualifizierung verfügen und von der Entwicklung unabhängig sind.

Requirement 9.1.1: Der Standard 1.2 stellt klar, dass der physikalische Zugang sowohl zu elektronisch gespeicherten Daten als auch zu Papieren, die sensible Daten enthalten, zu schützen ist. Um Unternehmen die Auswahl eines für sie geeignetes Zutrittskontrollsystem zu ermöglichen, wird im Standard 1.2 nicht mehr explizit auf Kameras als Zutrittskontrollsystem hingewiesen.

Requirement 9.5 und 9.10: Aufbewahrungsorte für Daten außerhalb des eigenen Firmengeländes sind mindestens einmal pro Jahr auf ihre Sicherheit hin zu überprüfen. Darüber hinaus werden klare Aussagen zur Vernichtung sensibler Daten getroffen.

Requirement 12.3: Die Liste der als kritisch zu sehenden Technologien und Geräte, die von Mitarbeitern genutzt werden, wird erweitert und umfasst aktuell alle Technologien, die einen einfachen Datenzugriff ermöglichen (z.B. remote access), Angriffe von außen ermöglichen (z.B. E-Mail und Internet) sowie zum missbräuchlichen Speichern von Daten führen können (z.B. Speichermedien, Laptop, PDA).

Requirement 12.6.2: Zukünftig müssen Ihre Mitarbeiter jährlich bestätigen, dass Sie die Informationssicherheitsrichtlinien des Unternehmens gelesen und verstanden haben.

Requirement 12.8: Es wurde klarer festgelegt, wie der Umgang mit Unternehmen zu regeln ist, mit denen eine PCI-relevante Geschäftsbeziehung besteht. Hier müssen Prozesse definiert werden, die eine Überprüfung des PCI-Status vor Vertragsschluss erfordern. Gleichzeitig muss regelmäßig der Compliance-Status der betroffenen Unternehmen verfolgt werden.