von Viktor Ahrens und Dennis Yang.
Das Information Supplement „Best Practices for Securing E-commerce“ unterstützt Händler und Dienstleister im E-Commerce Umfeld bei Sicherheitsbetrachtungen vorhandener E-Commerce-Lösungen und der Auswahl der für sie passenden Implementierung.
Die Aktualisierung des bereits seit 2013 bestehenden Dokuments wurde erforderlich, um Weiterentwicklungen seit der initialen Veröffentlichung Sorge zu tragen. So wurde innerhalb dieser Zeit unter anderem der SAQ („Self Assessment Questionnaire“) A-EP vorgestellt, der Händler mit Direct-Post- und JavaScript-Form-Implementierungen eine einfachere Zertifizierung erlaubt. Auch wurde der SAQ A mit Version 3.2 des PCI DSS um Anforderungen in den Bereichen Nutzermanagement und Passwortsicherheit erweitert.
Neben den unterschiedlichen E-Commerce-Lösungen und Beispielen werden im Information Supplement auch Verantwortlichkeiten für Händler und Dienstleister klarer dargestellt. Händler und Dienstleister, die ihre Dienste komplett an einen Dritt-Dienstleister auslagern, gehen fälschlicherweise häufig davon aus, dass sie selbst nicht mehr für die Anforderungen des PCI DSS verantwortlich sind. Das Information Supplement schafft hierzu Klarheit.
Zusätzlich enthält das Dokument detaillierte Erklärungen und Diagramme für jede der einzelnen E-Commerce Lösungen bezüglich PCI DSS Scope, Sicherheitsrisiken, sowie Kosten und Aufwände. Dabei geht das Dokument spezieller auf übliche angebotene Lösungen mittels URL Redirect, iFrame, Direct Post, Java Script und APIs ein. Weiterführende Themen rund um E-Commerce wie „Tokenization“ und „Encryption“ werden in einem abschließenden „Best Practice“-Kapitel besprochen.
Die Guidance gibt es auf der offiziellen Seite des PCI SSC hier
Sollten Sie weitere Fragen haben, oder Unterstützung bei der Scope Definition benötigen, sprechen Sie uns an. Unsere Experten helfen Ihnen gerne weiter,
+49 6102 8631-190
vertrieb@usd.de
Über die PCI Expert Tipps:
Mit den PCI Expert Tipps möchten wir Sie über Neuerungen der PCI Security Standards informieren und Ihnen erste Hinweise geben, wie sie zu verstehen sind und welche Auswirkungen sie haben können. Unsere Artikel sind dabei immer nur als allgemeine Richtschnur zu verstehen, sie ersetzen nicht die individuelle Betrachtung im Einzelfall.
DORA Countdown: Nur noch 1 Monat bis zur Deadline
DORA, der Digital Operational Resilience Act, wird am 17. Januar 2025 in vollem Umfang gültig. Die EU-Verordnung fordert von regulierten Finanzinstituten, die gelisteten Anforderungen für interne Prozesse und Systeme umzusetzen und dies auch bei ihren...