NEU: Hilfestellung zum Umgang mit nicht validierten Verschlüsselungs-Lösungen im POS Umfeld. PCI SSC gibt neuen Leitfaden heraus.

2. Dezember 2016

Zum Hintergrund: Der jüngste Sicherheitsstandard der Kreditkartenindustrie PCI P2PE (Point-to-Point Encryption) stellt sicher, dass Kreditkartendaten vom Eingabepunkt bis zum Endpunkt verschlüsselt werden und die Übertragungswege sowie die dazwischen geschalteten Komponenten auf Seiten des Händlers für PCI keine weitere Rolle spielen. PCI P2PE-Lösungen werden nach den strengen Sicherheitsanforderungen des PCI P2PE-Standards validiert und sind auf der Website des PCI Security Standards Council (PCI SSC) gelistet.

Viele Händler verwenden jedoch aktuell Verschlüsselungslösungen, die noch nicht P2PE validiert sind. Hierfür hat das Council nun einen Leitfaden herausgegeben, der die Auditoren (QSAs) der Händler bei der Bewertung dieser Lösungen unterstützen soll.
Lösungsanbieter können ihre Verschlüsselungslösungen nun durch einen P2PE QSA bewerten lassen. Dieser erstellt einen Audit Bericht nach den Anforderungen des P2PE Standards(P-RoV*) und eine NESA (Non-listed Encryption Solution Assessment) Dokumentation, die dem QSA des Händlers zur Bewertung übergeben werden können. Dieser kann auf Basis dieser Informationen eine Risikoabschätzung vornehmen und gegebenenfalls gezielt den PCI Scope des Händlers verringern. Bisher war dies nur bei P2PE validierten Lösungen möglich.
Der Leitfaden „Assessment Guidance for Non-listed Encryption Solutions“ kann auf der Website des PCI Security Standards Council heruntergeladen werden.
Sie benötigen Hilfe bei der Bewertung des neuen Leitfadens? Als P2PE QSA und P2PE PA-QSA führen wir sowohl offizielle P2PE Assessments als auch die Prüfungen gemäß dem neuen Leitfaden durch. Sprechen Sie uns gerne an.
* P2PE Report of Validation

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien