- Anzeige -

Sie sind hier: Home » Recht » Deutschland » Standards und Regeln

Mit PA-DSS-Prüfungen gemäß PA-DSS beginnen


PCI Security Standards Council gibt Datensicherheitsstandard für Zahlungsanwendungen heraus
Vom Council verwalteter Standard soll die Datensicherheit für Zahlungskarteninhaber durch ein weltweites Programm für Zahlungsanwendungen verbessern


(05.05.08) – Das PCI Security Standards Council (PCI SSC) meldete auf der Jahrestagung und Messe der Electronic Transactions Association (ETA Annual Meeting 2008) die Ausgabe der Version 1.1 des Payment Application Data Security Standards (PA-DSS). PCI SSC ist eine weltweite Institution für offene Industrienormen, die den Datensicherheitsstandard (DSS) der Zahlungskartenindustie – Kreditkartenindustrie - (PCI) verwaltet und die Einhaltung der Sicherheitsanforderungen für PCI-PIN-Eingabegeräte (PED) und des Datensicherheitsstandards für Zahlungsanwendungen (PA-DSS) beaufsichtigt.

Im Anschluss an die Ausgabe des PA-DSS wird Council im kommenden Herbst auch ein Programm starten, in dem eine Liste von validierten Zahlungsanwendungen geführt wird. Anhand dieser Liste können die Käufer dann sehen, welche Zahlungsanwendungen vom PCI SSC anerkannt wurden und mit diesem neuen Standard konform sind.

Immer häufiger werden die Schwachstellen von Zahlungsanwendungen von Betrügern ausgenutzt, um Zahlungskartendaten zu stehlen. Und in manchen Softwareanwendungen werden empfindliche Kartendaten sogar gespeichert, ohne dass der Benutzer des Systems davon weiß.

"Viele große und kleine Händler verlassen sich bei Anwendungen, die den Zahlungsverkehr abwickeln, auf unternehmensfremde Softwareanbieter", erläuterte J. Joseph Finizio, Executive Director, Retail Solutions Providers Association. "Wenn Council eine weltweit anerkannte Liste von validierten Zahlungsanwendungen verwaltet, dann haben Händler aller Größenordnungen es leichter, validierte Zahlungsanwendungen auszuwählen, die von allen großen Zahlungsmarken anerkannt werden. Damit wird gewährleistet, dass die Daten der Karteninhaber weiterhin sicher sind."

"PA-DSS" ist das von Council verwaltete Programm, das früher von Visa Inc. verwaltet wurde und seinerzeit unter der Bezeichnung Payment Application Best Practices (PABP) bekannt war. Das Ziel von PA-DSS besteht darin, Softwareanbieter und andere bei der Entwicklung von sicheren Zahlungsanwendungen zu unterstützen, die keine verbotenen Daten speichern, beispielsweise vollständige Magnetstreifen, andere sensitive Authentifizierungsdaten oder PIN-Daten. Außerdem soll die Konformität der Zahlungsanwendungen mit dem PCI DSS sichergestellt werden. Die Anforderungen des PA-DSS gelten für Zahlungsanwendungen, die an Fremdunternehmen verkauft, verteilt oder lizenziert werden. Sie gelten nicht für Zahlungsanwendungen, die von Händlern oder Dienstanbietern selbst zum Eigengebrauch entwickelt wurden und nicht an Dritte weiterverkauft werden. Diese Anwendungen müssen jedoch trotzdem in Konformität mit dem PCI DSS gesichert werden.

Außerdem wird Council in den kommenden Monaten qualifizierte Sicherheitsprüfer für Zahlungsanwendungen (Payment Application Qualified Security Assessors, PA-QSA) zulassen. Die als PA-QSA zugelassenen Unternehmen werden in einer von Council verwalteten und veröffentlichten Liste aufgeführt und können ihre PA-DSS-Prüfungen gemäß den Sicherheitsprüfverfahren des PA-DSS beginnen. Alle Unternehmen, die bereits unter Visa PABP als PA-QSA anerkannt waren, müssen sich nun als Council PA-QSA neu eintragen und revalidieren lassen. Zahlungsanwendungen die unter dem Visa-PABP-Programm als konform anerkannt waren, werden unter einer Übergangsregelung auf die von PCI SSC genehmigte Liste übertragen. Weitere Informationen zu diesem Übergang erhalten Sie unter "Frequently Asked Questions" (Häufig gestellte Fragen) auf der Council-Website unter https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_faqs.pdf .

"Die Ausarbeitung des PA-DSS und eines genau umrissenen Verfahrens für PA-QSA ist ein weiterer wichtiger Meilenstein für Council", vermerkte Bob Russo, General Manager, PCI Security Standards Council. "Wenn es eine einzige Informationsquelle für anerkannte Zahlungsanwendungen und Sicherheitsprüfer gibt, dann ist das von Geschäftswert für Händler und Dienstanbieter, denn damit können diese informierte Entscheidungen über die Sicherheit ihrer Zahlungsanwendungen treffen."

Über das PCI Security Standards Council

Aufgabe des PCI Security Standards Council ist es, durch Förderung der Aufklärung über und des Bewusstseins für den PCI-Datensicherheitsstandard und andere Standards, welche die Zahlungsdatensicherheit steigern, die Sicherheit bei der Zahlungsabrechnung zu erhöhen.

PCI Security Standards Council wurde von den großen Zahlungskartenanbietern American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. gegründet, um ein transparentes Forum zu schaffen, in dem alle Akteure zur laufenden Entwicklung, Verbesserung und Verbreitung des PCI-Datensicherheitsstandards (DSS), der Sicherheitsanforderungen an PIN-Eingabegeräte (PED) und des Datensicherheitsstandards für Zahlungsanwendungen (PA-DSS) beitragen können. Händlern, Banken, Verarbeitern und Point-of-Sale-Verkäufern wird nahegelegt, als teilnehmende Organisation (Participating Organization) beizutreten.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
(PCI Security Standards Council: ra)

Lesen Sie auch:
PCI DDS: Hohe Sicherheitshürden für Webshops
PCI: Regelwerk im Zahlungsverkehr

Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Standards und Regeln

  • Einführung von Smart Grid-Anwendungen

    IEEE, der weltweit größte Verband zur Förderung von Technologien, gibt bekannt, dass der Standard IEEE P1901.2T-2013 für Niedrigfrequenz-Powerline-Kommunikation (PLC) unter 500 kHz für Smart Grid-Anwendungen erfolgreich die erste Freigaberunde abgeschlossen hat. Nach seiner endgültigen Genehmigung soll der Standard eine neue Generation der PLC-Technologie für Übertragungsfrequenzen von weniger als 500 kHz spezifizieren. Damit ist er für eine Vielzahl existierender sowie neu entstehender Smart Grid-Anwendungen relevant.

  • MES-Kennzahlen eindeutig definiert

    Mit der ISO/DIS 22400-2 steht ab sofort eine internationale, gültige Leitlinie für die Definition, Beschreibung und Interpretation von MES-Kennzahlen zur Verfügung. Die Entwurfsfassung der Norm beinhaltet 34 Key Performance Indicators (KPI) aus den Bereichen Produktion, Qualität, Instandhaltung und Lager/Logistik für Unternehmen aus der diskreten Fertigung, der Prozessindustrie sowie der hybriden Fertigung. Hinzu kommt ein relationales Wirkmodell, das über eine Kennzahlenmatrix und Beziehungsdiagramme die Abhängigkeiten zwischen den KPI und ihren Faktoren untereinander inhaltlich und organisatorisch beschreibt.

  • Netzanbindung dezentraler Energiesysteme

    Die IEEE Standards Association (IEEE-SA) gibt die Freigabe des Standards "1547.4" bekannt. "IEEE 1547.4" bezeichnet einen neuen Leitfaden für die Entwicklung, den Betrieb sowie die Integration dezentraler Energieressourcen und Insellösungen, mit Elektrizitätssystemen.

  • Entscheidung in der Standardisierungspolitik

    Ein aktueller EU-Verordnungsentwurf zur Europäischen Normung sieht eine Sonderregelung für den ITK-Sektor vor. Demnach sollen künftig auch Standards von nicht-staatlich anerkannten Normungsorganisationen in das europäische Normungssystem übernommen werden können. Damit werden öffentliche Ausschreibungen von ITK-Produkten und -Dienstleistungen einfacher und transparenter.

  • Vertrauenswürdige digitale Langzeitspeicherung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 1. März 2011 auf seiner Homepage die - mit Hilfe einer zusammen mit dem BSI und dem VOI-Verband Organisations- und Informationssysteme e.V. initiierten Arbeitsgruppe unter Moderation von Herrn Prof. Hackel (Physikalisch-Technische Bundesanstalt - PTB) - grundlegend überarbeitete Version 1.1 der Technischen Richtlinie 03125 "Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR)" – vormals TR-VELS (Vertrauenswürdige elektronische Langzeitspeicherung) veröffentlicht.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen