-PCI DSS Version 3.2.1 berücksichtigt kleinere Aktualisierungen, um abgelaufenen SSL/Early TLS Daten Rechnung zu tragen
Heute veröffentlichte das PCI Security Standards Council (PCI SSC) eine geringfügige Berichtigung des PCI Data Security Standard (PCI DSS), den Unternehmen rund um den Globus anwenden, um die Zahlungskartendaten vor, während und nach der Kaufabwicklung zu schützen. Die PCI DSS Version 3.2.1 ersetzt Version 3.2, um den Gültigkeitsdaten und den abgelaufenen Secure Socket Layer (SSL)/early Transport Layer Security (TLS) Umstellungsfristen Rechnung zu tragen. Keine zusätzlichen Anforderungen werden an PCI DSS v3.2.1 gestellt. PCI DSS v3.2 behält seine Gültigkeit bis zum 31. Dezember 2018, die am 1. Januar 2019 erlischt.
"Diese Aktualisierung wurde entwickelt, um Konfusionen im Hinblick auf Gültigkeitsdaten von PCI DSS aufgrund der Einführung von v3.2 sowie der Umstellungsfristen für SSL/early TLS zu vermeiden", so Troy Leach, PCI SSC Chief Technology Officer. "Es ist von besonderer Bedeutung, dass Organisationen SSL/early TLS außer Kraft setzen und eine Aktualisierung auf eine sichere Alternative durchführen, um ihre Zahlungsdaten zu schützen."
Die geringfügigen Änderungen von PCI DSS v3.2.1 spiegeln wider, wie bestehende Anforderungen nach Ablauf der Gültigkeitsdaten und der SSL/TLS Umstellungsfristen betroffen sein werden, sodass die Organisationen genau Bericht erstatten können, wie ihre Implementierungen diese bestehenden Anforderungen nach dem 30. Juni erfüllen werden. Zu den Änderungen zählen insbesondere:
- Entfernung von Hinweisen, die sich auf das Gültigkeitsdatum 1. Februar 2018 für einschlägige Anforderungen beziehen, da diese Frist abgelaufen ist.
- Aktualisierungen im Hinblick auf einschlägige Anforderungen und Anhang A2, um widerzuspiegeln, dass lediglich POS POI (Point of Sale/Verkaufspunkt Point of Interaction/Interaktionspunkt) Terminals und ihre Service-Provider-Anschlussstellen weiterhin SSL/early TLS zur Sicherheitskontrolle nach dem 30. Juni 2018 verwenden dürfen.
- Entfernung der Multi-Faktor-Authentifizierung (MFA) aus dem Beispiel für ausgleichende Kontrolle in Anhang B, da die MFA inzwischen für alle administrativen Zugriffe über Netzwerkschnittstellen erforderlich ist. Hinzufügung eines Einmalpassworts als alternative potenzielle Kontrolle für dieses Szenario.
Die Aktualisierungen von PCI DSS v3.2.1 haben keinerlei Auswirkung auf den Payment Application Data Security Standard (PA-DSS), der im Rahmen von v3.2 unverändert bleiben wird.
PCI DSS v3.2.1 und eine Zusammenfassung der Änderungen von v3.2 gegenüber 3.2.1 stehen nun in der Document Library auf der Website von PCI SSC zur Verfügung. Aktualisierte Versionen des "SSL and Early TLS Information Supplement", der "Self-Assessment Questionnaires" (SAQ) und der "SAQ Instructions and Guidelines" werden in Kürze zur Unterstützung von PCI DSS v3.2.1 veröffentlicht.
Für weitere Informationen lesen Sie bitte den PCI Perspectives Blog Q&A mit Chief Technology Officer Troy Leach: PCI DSS Now and Looking Ahead.
Über das PCI Security Standards Council
Das PCI Security Standards Council (PCI SSC) treibt die weltweiten, branchenübergreifenden Bemühungen um eine Verbesserung der Zahlungssicherheit voran, indem es einen wichtigen Beitrag zu industriegetriebenen, flexiblen und wirksamen Datensicherheitsstandards und -programmen leistet, die Unternehmen unterstützen können, Cyberangriffe und Sicherheitslücken zu erkennen, zu entschärfen und zu verhindern. Treten Sie mit dem PCI SSC in Verbindung unter LinkedIn. Beteiligen Sie sich an der Konversation auf Twitter @PCISSC. Abonnieren Sie den PCI Perspectives Blog.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20180517006458/de/
Contacts:
PCI Security Standards Council
Mark Meissner: +1-202-744-8557
press@pcisecuritystandards.org
Twitter: @PCISSC