Vor einigen Tagen erhielt die usd AG mit den Scanning Services der usd PCI DSS Plattform erneut die Zulassung als Approved Scanning Vendor (ASV). Diese weltweit gültige Akkreditierung für Security Scans wird vom PCI Security Standards Council (PCI SSC) vergeben und muss von den Anbietern jährlich erneuert werden.
Im Rahmen ihrer PCI DSS Zertifizierung müssen Unternehmen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, ihre betroffenen IT-Systeme quartalsweise mit einem externen Scan auf Schwachstellen überprüfen. Diese Scans dürfen nur von einem ASV durchgeführt werden, der vom PCI SSC überprüft, akkreditiert und auf der offiziellen Liste zugelassener Scanning-Anbieter aufgeführt ist. Ergebnisse nicht akkreditierter Anbieter werden durch das PCI SSC aberkannt.
usd Scan-Lösung auf den Prüfstand gestellt
Bei der Überprüfung der Scanning-Lösungen werden nicht nur Prozesse und Organisationen betrachtet. Die Lösungen werden im ASV-Validierungslabor des PCI SSC im Rahmen einer, der Realität nachempfundenen, Schwachstellenanalyse auf Herz und Nieren getestet. Dieser Test überprüft, ob die eingereichte Scanning-Lösung den aktuellen technischen Anforderungen entspricht: alle Schwachstellen müssen identifiziert, korrekt bewertet und im Scantestbericht adäquat dokumentiert werden. Teilweise beinhaltet die Überprüfung komplexe Schwachstellen, die nur mit den besten Werkzeugen basierend auf langjähriger Erfahrung gefunden werden können. Nur so kann sichergestellt werden, dass später tatsächliche Bedrohungen bei den Kunden richtig identifiziert werden.
Stephan Neumann, Head of usd HeroLab, begleitete die Akkreditierung: „Wir freuen uns, weiterhin ASV-Scans für unsere Kunden durchführen zu können. Unsere Scanning-Lösung überzeugte wieder, und dass, obwohl die Anforderungen vom PCI Council im Vergleich zu den letzten Jahren signifikant erhöht wurden. Darin zeigt sich die Qualität unserer automatisierten, technischen Schwachstellen-Scans.“
ASV-Scans nach PCI DSS v4.0 möglich
Um Sie bei Ihrem Compliance-Nachweis nach PCI DSS wie gewohnt zu unterstützen, haben wir unsere Scanumgebung so angepasst, dass Sie mit jedem Scan entscheiden können, ob dieser nach der Version 3.2.1 oder 4.0 des PCI DSS durchgeführt werden soll.
Weisen Sie Ihre PCI DSS Compliance bereits nach Version 4.0 nach und benötigen dementsprechend einen ASV-Scan für einen Nachweis nach v4.0, werden Sie auf unserer PCI DSS Plattform nun nach der Sicherheit von eingebundenen Payment Page Skripten gefragt. Sofern Sie solche Skripte verwenden, sind Sie spätestens ab dem 01.04.2025 verpflichtet, diese gemäß den Vorgaben des PCI DSS sicher einzubinden. Da die sichere Einbindung der Payment Page Skripte bis dahin eine Empfehlung und keine Verpflichtung darstellt, räumen wir Ihnen gemäß den Vorgaben des PCI DSS die Möglichkeit ein, dies in der Zwischenzeit als Best Practice zu deklarieren.