PCI-DSS
Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Sicherheitsstandard, der u.a. Anforderungen an das Sicherheitsmanagement, an Richtlinien, Abläufe, Netzwerkarchitektur und Software Design stellt. Als umfassender Standard unterstützt er Organisationen dabei, Kartendaten von Kunden präventiv zu schützen und erhöht damit die Sicherheit beim Umgang mit Kartendaten.
Der Katalog verpflichtender Kriterien und Anforderungen gruppiert sich in sechs Hauptbereiche mit mehr als 200 Einzelanforderungen:
- Aufbau und Instandhaltung eines sicheren Netzwerks
- Schutz von Kreditkartendaten
- Einsatz eines Schwachstellen-Management-Programms
- Implementierung strenger Zugangskontrollmaßnahmen
- Regelmäßige Überwachung und Test der IT-Infrastruktur
- Implementierung und Einhaltung von Richtlinien zur Informationssicherheit
PCI-DSS ist verpflichtend für Banken, Prozessoren, Payment Service Provider und Händler, die Karteninhaberdaten für eigene Zwecke oder im Namen anderer Organisationen speichern, verarbeiten oder übermitteln. Der PCI-DSS wurde vor einigen Jahren von Visa International, MasterCard, American Express, JCB und Discover entwickelt. 2006 wurde schließlich das PCI Security Standard Council (PCI SSC) gegründet, um die weltweite Einführung konsistenter Datensicherheitsmaßnahmen zu unterstützen.
PA-DSS
Der Payment Application Data Security Standard (PA-DSS) stellt einen Katalog von Anforderungen dar, welche aus dem PCI-DSS Standard und den zugehörigen Audit-Richtlinien hervorgegangen ist. Softwarehersteller und deren Kunden haben dadurch PCI-DSS-konforme Richtlinien für die Entwicklung, die Implementierung und den Betrieb von paymentspezifischen Softwarekomponenten zur Verfügung.
PA-DSS ist in vierzehn Anforderungsgruppen mit mehr als vierzig einzelnen Anforderungen unterteilt. Die Anforderungen beziehen sich auf die softwarespezifischen Inhalte der sechs Hauptkapitel des PCI-DSS Standards. Dazu gehören u.a. Anforderungen für die Speicherung und den Schutz sensibler Daten, Access Control und Logging, Design und Entwicklung sicherer Softwaresysteme, Dokumentation von sicherheitsrelevanten Funktionen und die Nutzbarkeit in sicheren Netzwerkarchitekturen.
PA-DSS ist für Softwarehersteller der verbindliche Standard um paymentspezifische Softwareapplikationen an Banken, Prozessoren, Payment Service Provider oder Händler zu liefern, die mit diesen Applikationen Karteninhaberdaten für eigene Zwecke oder im Namen anderer Organisationen verarbeiten, speichern oder übermitteln.
PCI-PIN
Der Payment Card Industry PIN Security Standard (PCI-PIN) ist ein umfassender Katalog von Anforderungen, um bei Banken, Prozessoren und ATM/EFTPOS Netzwerkbetreibern die Sicherheit PIN-basierter Transaktionen zu gewährleisten.
Die PCI-PIN Sicherheitsanforderungen beziehen sich auf das Sicherheitsmanagement sowie die Verarbeitung und Übermittlung der Personal Identification Number (PIN) Daten einer am Geldautomaten (ATM) oder Point-of-Sale (EFTPOS) Terminal durchgeführten Transaktion. Der Standard umfasst 32 einzelne Anforderungen, die in sieben logische Gruppen, den sogenannten “Control Objectives” gegliedert sind. Diese Anforderungen finden Anwendung bei allen Instituten, die PIN-basierte Transaktionen der Kartenorganisationen durchführen.
Die sieben Control Objectives sind
- PIN Daten, die in Transaktionen gemäß diesen Anforderungen genutzt werden, werden mit Equipment und Methoden verarbeitet, die die Sicherheit der PIN Daten gewährleisten.
- Die Generierung von kryptographischen Schlüsseln, die für die PIN Ver- und Entschlüsselung verwendet werden, sowie dem damit verbundenen Key Management, erfolgen auf Basis von definierten Abläufen. Diese Abläufe müssen sicherstellen, dass es nicht möglich ist, Schlüssel vorherzusagen oder dass bestimmte Schlüssel wahrscheinlicher sind als andere.
- Die Übermittlung von Schlüsseln erfolgt auf sichere Art und Weise.
- Das Laden von Schlüsseln in Hostsysteme und PED´s erfolgt auf sichere Art und Weise.
- Schlüssel werden derart genutzt, dass unbefugte Nutzung vorgebeugt oder diese aufdeckt wird.
- Schlüssel werden auf eine sichere Art und Weise verwaltet.
- Equipment für die Verarbeitung von PIN-Daten und Schlüsseln wird sicher verwaltet.
