Suchen

Neues PCI-Regelwerk kommt im Oktober PCI DSS 2.0 schafft Klarheit bei Kreditkartendaten-Verarbeitung

| Redakteur: Stephan Augsten

In der nächsten Ausarbeitung von PCI DSS (Payment Card Industry Data Security Standard) sollen unter anderem Secure Coding und Key Management thematisiert werden. In einer ersten Zusammenfassung geht das PCI Security Standards Council von insgesamt neun Änderungen am bestehenden Regelwerk aus.

Firma zum Thema

In der neuen Version 2.0 soll die PCI-DSS-Richtlinie für Kreditkartendaten-verarbeitende Unternehmen verständlicher sein.
In der neuen Version 2.0 soll die PCI-DSS-Richtlinie für Kreditkartendaten-verarbeitende Unternehmen verständlicher sein.
( Archiv: Vogel Business Media )

Das PCI Security Standards Council hat ein Dokument mit den geplanten Verbesserungen am Payment Card Industry Data Security Standards (PCI DSS) veröffentlicht. In der Zusammenfassung ist von neun Änderungen für PCI DSS 2.0 sowie drei Änderungen für den Payment Application (PA) Data Security Standard 2.0 die Rede.

Der PCI Council General Manager Bob Russo bekräftig, dass es sich bei den Vorschlägen nur um geringfügige Änderungen handelt: „Der Standard ist bereits sehr solide und für die kommenden fünf Jahre ausgereift genug.“

Neue Anforderungen an die Unternehmen, die Kreditkartendaten verarbeiten, werden nicht gestellt. Vielmehr sollen Erläuterungen und verständliche Formulierungen die Absicht bestimmter Richtlinien verdeutlichen und für ein besseres Verständnis derselben sorgen.

Gleichzeitig will das PCI Security Standards Council den Händlern bei der Ausarbeitung der Assessment-Zielvorgaben helfen. Russo zufolge wird den von PCI DSS betroffenen Unternehmen im neuen Dokument nahegelegt, vor einer PCI-Prüfung die Systeme ausfindig zu machen, auf denen Kreditkartendaten liegen. Hierfür böten sich Data Discovery Tools oder Data-Leakage-Protection-Techniken an.

Weitere Änderungsvorschläge befassen sich mit der sicheren Entwicklung von Webanwendungen und der Schwachstellen-Analyse. In der Anforderung 6.2 wird den Unternehmen künftig dazu geraten, beim Beheben von Schwachstellen einen Risiko-basierenden Ansatz zu verfolgen. Hinsichtlich der sicheren Anwendungsentwicklung will das PCI Council zusätzlich zum OWASP-Leitfaden auf weitere Secure Coding Standards verweisen.

Der regelmäßige Austausch kryptographischer Schlüssel wird künftig in der Anforderung 3.6 empfohlen. Zwar sind Händler, die Kreditkartendaten im Rahmen ihrer Backups speichern, auch weiterhin nicht zum Tausch der Schlüssel verpflichtet. Dennoch will das PCI Security Standards Council zumindest auf die Möglichkeit dieser Absicherung hinweisen. Darüber hinaus soll die Richtlinie 2.2.1 künftig auf Virtualisierungstechniken eingehen.

Die finalen Versionen des Payment Card Industry sowie des Payment Application Data Security Standards sollen Ende Oktober 2010 veröffentlicht werden. Zum 11. Januar sollen PCI DSS 2.0 und PA DSS 2.0 dann wirksam werden. Das rund 260 Kilobyte große PDF-Dokument zu den Änderungen von PCI DSS 2.0 findet sich auf der Website des PCI Security Standards Council.

(ID:2046657)