Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt. eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von … [Read more…]
Wer PCI DSS nicht kennt, aber plötzlich davon betroffen ist, sollte sich das Dokument Navigating PCI DSS von der offiziellen Website des PCI Security Standards Council herunterladen. Es lohnt sich. Im eigentlichen PCI DSS Dokument werden nur Anforderungen und Testprozeduren definiert. In Navigating PCI DSS wird erklärt, was überhaupt mit den einzelnen Anforderungen erreicht werden … [Read more…]
Die PCI DSS Anforderung 8.5.9 besagt, dass Benutzerpasswörter mindestens alle 90 Tage gewechselt werden müssen. Unter Requirement 8 existiert jedoch eine Notiz im Standard, die den Umfang der Anwendbarkeit präzisiert: „Note: These requirements are applicable for all accounts, including point of sale accounts, with administrative capabilities and all accounts used to view or access cardholder … [Read more…]
Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern: Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter. Der Nutzer muss sich das … [Read more…]
