Am 17.05.2018 wurde die PCI DSS Minor Revision 3.2.1 vom Security Standards Council (PCI SSC) veröffentlicht. Die Revision 3.2.1 ist ab dem 01. Januar 2019 verpflichtend – die Version 3.2. kann noch in diesem Jahr verwendet werden.
Es ergeben sich keine neuen Anforderungen aus der Minor Revision, allerdings werden bestehende Unklarheiten bezüglich Stichtagen und Migrationsterminen für SSL/early TLS behoben.
Die Minor Revision 3.2.1 zeigt auf, inwiefern bestehende Anforderungen durch den Ablauf der Stichtage und Migrationstermine für SSL/TLS (30. Juni 2018) betroffen sind. Im Einzelnen enthalten die Änderungen die folgenden Inhalte:
- Entfernung von Hinweisen, die sich auf den Stichtag 01. Februar 2018 beziehen
- Aktualisierung der geltenden Anforderungen und des Appendix A2. Dadurch wird klargestellt, dass ausschließlich POS POI (point of sale point of interaction) Terminals und deren Service Provider-Anschlussstelle die Protokolle SSL/early TLS auch nach dem 30. Juni 2018 verwenden dürfen.
- Die Multi-Faktor-Authentifizierung (MFA) wurde aus dem Beispiel zu Compensating Controls in Appendix B entfernt. MFA ist jetzt für jeden Administratorzugriff, der nicht über die Konsole erfolgt, erforderlich. Die Verwendung von Einmalpasswörtern als alternative Kontrollmöglichkeit für dieses Szenario wurde hinzugefügt.
Die Änderungen betreffen nicht den Payment Application Data Security Standard (PA-DSS).
Über die PCI Expert Tipps:
Mit den PCI Expert Tipps möchten wir Sie über Neuerungen der PCI Security Standards informieren und Ihnen erste Hinweise geben, wie sie zu verstehen sind und welche Auswirkungen sie haben können. Unsere Artikel sind dabei immer nur als allgemeine Richtschnur zu verstehen, sie ersetzen nicht die individuelle Betrachtung im Einzelfall.
Sollten Sie weitere Fragen haben oder Unterstützung benötigen, sprechen Sie uns an. Unsere Experten helfen Ihnen gerne weiter:
+49 6102 8631-190
vertrieb@usd.de
Quelle: https://www.pcisecuritystandards.org/