NEU: Hilfestellung zum Umgang mit nicht validierten Verschlüsselungs-Lösungen im POS Umfeld. PCI SSC gibt neuen Leitfaden heraus.

2. Dezember 2016

Zum Hintergrund: Der jüngste Sicherheitsstandard der Kreditkartenindustrie PCI P2PE (Point-to-Point Encryption) stellt sicher, dass Kreditkartendaten vom Eingabepunkt bis zum Endpunkt verschlüsselt werden und die Übertragungswege sowie die dazwischen geschalteten Komponenten auf Seiten des Händlers für PCI keine weitere Rolle spielen. PCI P2PE-Lösungen werden nach den strengen Sicherheitsanforderungen des PCI P2PE-Standards validiert und sind auf der Website des PCI Security Standards Council (PCI SSC) gelistet.

Viele Händler verwenden jedoch aktuell Verschlüsselungslösungen, die noch nicht P2PE validiert sind. Hierfür hat das Council nun einen Leitfaden herausgegeben, der die Auditoren (QSAs) der Händler bei der Bewertung dieser Lösungen unterstützen soll.
Lösungsanbieter können ihre Verschlüsselungslösungen nun durch einen P2PE QSA bewerten lassen. Dieser erstellt einen Audit Bericht nach den Anforderungen des P2PE Standards(P-RoV*) und eine NESA (Non-listed Encryption Solution Assessment) Dokumentation, die dem QSA des Händlers zur Bewertung übergeben werden können. Dieser kann auf Basis dieser Informationen eine Risikoabschätzung vornehmen und gegebenenfalls gezielt den PCI Scope des Händlers verringern. Bisher war dies nur bei P2PE validierten Lösungen möglich.
Der Leitfaden „Assessment Guidance for Non-listed Encryption Solutions“ kann auf der Website des PCI Security Standards Council heruntergeladen werden.
Sie benötigen Hilfe bei der Bewertung des neuen Leitfadens? Als P2PE QSA und P2PE PA-QSA führen wir sowohl offizielle P2PE Assessments als auch die Prüfungen gemäß dem neuen Leitfaden durch. Sprechen Sie uns gerne an.
* P2PE Report of Validation

Auch interessant:

usd AG Partner des PCI SSC GEAR 2022-2024

usd AG Partner des PCI SSC GEAR 2022-2024

Der PCI Security Standards Council (PCI SSC) hat die usd AG erneut zur Mitgliedschaft im Global Executive Assessor Roundtable (GEAR) berufen. Seit 2018 ermöglicht der GEAR einen direkten Austausch zwischen PCI Assessoren und dem PCI Security Standards...

mehr lesen
Security Advisories zu CA Harvest

Security Advisories zu CA Harvest

Die Analyst*innen des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen die CA Harvest Software Change Manager untersucht. Hierbei wurde eine unzureichende Eingabevalidierung beim CSV Export identifiziert, welche dem Hersteller im Rahmen...

mehr lesen

Kategorien

Kategorien