WAKEFIELD, Massachusetts--(BUSINESS WIRE)--Heute veröffentlichte der PCI Security Standards Council (PCI SSC) eine neue Version seines Datensicherheitsstandards, den Unternehmen rund um den Globus anwenden, um Zahlungsdaten vor, während und nach einem Kauf zu schützen. PCI Data Security Standard (PCI DSS) Version 3.2 ersetzt Version 3.1, um gegen die zunehmenden Bedrohungen der Daten über das Zahlungsverhalten von Kunden vorzugehen. Unternehmen, die Zahlungen annehmen, verarbeiten oder erhalten, sollten ihn so früh wie möglich anwenden, um Cyberangriffe, die zu Rechtsbrüchen führen können, zu verhindern, aufzuspüren und abzuwehren. Version 3.1 wird am 31. Oktober 2016 ihre Gültigkeit verlieren.
„Die Zahlungsbranche erkennt PCI DSS als ausgereiften Standard an, wobei es sich bei den wesentlichen Änderungen im Rahmen von Version 3.2 um Präzisierungen der Anforderungen handelt, sodass Unternehmen davon ausgehen können, dass wichtige Datensicherheitskontrollen im Verlauf des Jahres in Kraft bleiben und dass sie darüber hinaus im Rahmen der laufenden Überwachung der Sicherheit eingehend getestet wurden”, so Stephen Orfei, PCI Security Standards Council General Manager. „Hierzu gehören auch neue Anforderungen an Administratoren und Dienstleistungsanbieter und die Karteninhaberdaten-Umgebungen für deren Schutz sie die Verantwortung tragen. PCI DSS 3.2 setzt sich dafür ein, dass sich Organisationen auf Personen, Prozesse und Verfahrensweisen konzentrieren, wobei der Technologie eine bedeutende Rolle bei der Reduzierung des gesamten Karteninhaber-Datenfußabdrucks zukommt.”
Die Aktualisierung des Standards ist Teil des regulären Verfahrens, um zu gewährleisten, dass der PCI DSS den aktuellen Herausforderungen und Bedrohungen begegnet. Dieser Prozess berücksichtigt das Feedback aus der Branche von mehr als 700 globalen Teilnehmerorganisationen des PCI Council und Ergebnisse des Berichts über Datenschutzverletzungen sowie Änderungen der Zahlungsakzeptanz.
„Wir konnten eine Zunahme der Angriffe aufgrund einzelner Fehlerstellen beobachten, die Kriminellen den unentdeckten Zugang zu Systemen ermöglichen und den Datenschutz verletzen. Eine wesentliche Änderung des PCI DSS 3.2 betrifft die mehrstufige Authentifizierung als Anforderung für alle Personen mit administrativem Zugriff auf Umgebungen in denen Kartendaten verarbeitet werden. Zuvor galt diese Anforderung nur für den Fernzugriff von nicht vertrauenswürdigen Netzwerken. Ein Passwort allein sollte nicht ausreichen, um die Identität des Administrators zu verifizieren und den Zugang zu sensiblen Daten zu gewähren”, so Troy Leach, PCI Security Standards Council Chief Technology Officer. „Darüber hinaus unterliegen Dienstleistungsanbieter, insbesondere diejenigen, die große Kartendatenmengen anhäufen, nach wie vor einem Risiko. PCI DSS 3.2 umfasst auch eine Reihe von Aktualisierungen, um diese juristischen Einheiten in die Lage zu versetzen, den Nachweis zu führen, dass geeignete Sicherheitsverfahren eingesetzt werden und wirksam sind.”
Zu den wichtigen Änderungen im Rahmen des PCI DSS 3.2 gehören:
- Überarbeiteter Secure Sockets Layer (SSL) und frühe Transport Layer Security (TLS) Ablauftermine, wie in dem „Bulletin on Migrating from SSL and Early TLS” ausgeführt
- Ausweitung des Anforderungsprofils 8.3, um die Nutzung der mehrstufigen Authentifizierung für Administratoren und deren Zugriff auf die Karteninhaberdaten-Umgebung einzuschließen
- Zusätzliche Sicherheitsvalidierungsschritte für Dienstleistungsanbieter und andere, einschließlich der „Designated Entities Supplemental Validation” (DESV) Kriterien, wobei es sich zuvor um ein separates Dokument handelte.
Ein vollständiges Exemplar der neuen PCI Data Security Standard Version 3.2, einschließlich der Zusammenstellung der Änderungen (Summary of Changes) erhalten Sie unter: https://www.pcisecuritystandards.org/document_library.
Der PCI Perspectives Blogbeitrag unter PCI DSS 3.2: What’s New? bietet zusätzliche Informationen zu Änderungen des Standards und seiner Begleitdokumentation. Der Blog hebt auch zusätzliche verfügbare Quellen zum Verständnis und zur Anwendung der PCI DSS Version 3.2 besonders hervor.
Troy Leach ergänzte: „In Zukunft erwarten wir schrittweise Verbesserungen wie diejenigen im Rahmen von Version 3.2, um gegen sich ständig verändernde Bedrohungen des Zahlungsverkehrs vorgehen zu können. Das Hauptaugenmerk gilt der Unterstützung von Unternehmen bei der Anwendung dieses Standards als gute Grundlage für die alltägliche Sicherheit und die beste Geschäftspraktik.”
Über den PCI Security Standards Council
Der
PCI
Security Standards Council ist ein globales Forum, das für die
Entwicklung, Verwaltung, Schulung und Sensibilisierung im Hinblick auf
den PCI Data Security Standard (PCI DSS) und andere Standards, welche
die Zahlungsdatensicherheit erhöhen, verantwortlich ist. Bleiben Sie mit
dem PCI Council auf LinkedIn
in Verbindung. Beteiligen Sie sich an der Konversation auf Twitter: @PCISSC.
Abonnieren Sie den PCI
Perspectives Blog.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.