Als Nachfolger der bis 2019 gültigen VISA PIN Security Requirements umfasst der PCI PIN Security Standard Sicherheitsanforderungen zum Schutz von Personal Identification Numbers (PINs), mit deren Hilfe die Identität eines Kreditkarteninhabers beim Bezahlvorgang bestätigt wird.
Die Anforderungen richten sich an eine sichere Verwaltung, Verarbeitung und Übermittlung von PINs in Online- und Offline-Transaktionen an Geldautomaten sowie an beaufsichtigten und unbeaufsichtigten Zahlungsterminals (z.B. Fahrkartenautomaten) und müssen von allen Organisationen erfüllt werden, die auf der Acquiring-Seite Transaktionen von Geldautomaten oder Point-of-Sale-Terminals akzeptieren oder verarbeiten. Der Standard richtet sich damit insbesondere an Banken, Zahlungsanbieter und Netzbetreiber.
Für einen erfolgreichen Nachweis der PCI PIN Compliance sind betroffene Unternehmen verpflichtet, alle zwei Jahre ein Audit durch einen akkreditierten Qualified PIN Assessor (QPA) durchführen zu lassen. Im Rahmen eines solchen Audits identifizieren zertifizierte und speziell geschulte Auditor*innen im Unternehmen Abweichungen vom Standard durch Interviews, Dokumentprüfungen und technische Prüfungen.
Wichtig: Zertifizierungspflichtige Unternehmen müssen Ihre PIN-Auditoren regelmäßig wechseln
Im VISA PIN Security Program Guide formuliert VISA einige Grundanforderungen zur PIN-Sicherheit. Darunter fällt auch die Regel, dass zertifizierungspflichtige Unternehmen ihre QPA Company spätestens nach zwei aufeinanderfolgenden Prüfzyklen austauschen müssen. Diese Praxis soll dazu beitragen, dass Sicherheitsprüfungen dauerhaft objektiv und gründlich durchgeführt werden.
Wie können wir Ihnen helfen?
Die usd AG ist vom PCI SSC als Qualified PIN Assessor offiziell akkreditiert. Wir bieten Ihnen auch gern Kombiaudits in Verbindung mit anderen PCI-Standards (beispielsweise P2PE) an. Kontaktieren Sie uns – wir unterstützen Sie gerne bei Ihrem PCI-Zertifizierungsprojekt.