Aktualisierter Kreditkartensicherheitsstandard
Multipler Schutz
Die Sicherheitsvorgaben der internationalen Zahlungssysteme für Händler und Dienstleister, die Kartentransaktionen abwickeln, wurden erneut überarbeitet. Die Umsetzungsfristen laufen bis Ende Oktober 2016 und Ende Januar 2018.
Im April 2016 ist der „Payment Card Industry Data Security Standard“ (PCI DSS) [a] in Version 3.2 veröffentlicht worden. Der Standard wird seit 2006 durch das PCI Security Standards Council (PCI SSC) gepflegt und in regelmäßigen Abständen aktualisiert. Das Gremium veröffentlichte den PCI DSS dieses Mal aber entgegen dem eigentlich definierten „Lifecycle for Changes to PCI DSS and PA-DSS“ ein halbes Jahr früher und verlangt die Einhaltung und Nutzung der neuen Version bereits ab Ende Oktober 2016. Als zusätzliche Hilfestellung hat das PCI SSC parallel zum Sicherheitsstandard das Dokument „Summary of Changes from PCI DSS Version 3.1 to 3.2“ [b] herausgegeben, aus dem die Änderungen hervorgehen. Darüber hinaus gibt es inzwischen ein Blog [c], in dem das Gremium weitere Informationen zum Standard bereitstellt.
Der PCI DSS definiert die Mindestanforderungen zum Schutz von Karteninhaberdaten der fünf internationalen Zahlungssysteme American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. Diese sind von allen Mitgliedsbanken, Händlern und Dienstleistern einzuhalten, die solche Daten speichern, verarbeiten oder übermitteln. Regelmäßig durchzuführende Audits und Security-Scans durch unabhängige Dritte oder auch Selbstauskunftsfragebögen der betroffenen Unternehmen sollen das Einhalten der Vorgaben gewährleisten. Auditoren in Form von sogenannten „Qualified Security Assessors“ (QSA) überprüfen als unabhängige Dritte weltweit die Umsetzung, unter anderem durch Vorortbegehungen bei Dienstleistern und großen Händlern.