Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt. eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von … [Read more…]
Wer PCI DSS nicht kennt, aber plötzlich davon betroffen ist, sollte sich das Dokument Navigating PCI DSS von der offiziellen Website des PCI Security Standards Council herunterladen. Es lohnt sich. Im eigentlichen PCI DSS Dokument werden nur Anforderungen und Testprozeduren definiert. In Navigating PCI DSS wird erklärt, was überhaupt mit den einzelnen Anforderungen erreicht werden … [Read more…]
Die PCI DSS Anforderung 8.5.9 besagt, dass Benutzerpasswörter mindestens alle 90 Tage gewechselt werden müssen. Unter Requirement 8 existiert jedoch eine Notiz im Standard, die den Umfang der Anwendbarkeit präzisiert: „Note: These requirements are applicable for all accounts, including point of sale accounts, with administrative capabilities and all accounts used to view or access cardholder … [Read more…]
Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM. Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise … [Read more…]
Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern: Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter. Der Nutzer muss sich das … [Read more…]
Eine 100%ige Compliance zu allen Anforderungen des PCI DSS (Payment Card Industry Data Security Standard) bedeutet nicht zwangsläufig, dass ein Unternehmen „sicher” ist: Zum Ersten konzentriert sich PCI DSS ausschließlich auf die Sicherheit auf Kreditkartendaten bzw. Karteninhaberinformationen. Und dabei ist der Fokus stärker auf die Vertraulichkeit als auf die Integrität oder Verfügbarkeit dieser Daten gerichtet. … [Read more…]
