PCI DSS Merchant Compliance and TPSPs

Für Händler und Dienstleister für Dritte (TPSPs), STEALTH-ISS Inc. Multi-Card Security Programm (SMCSP) ist eine einfache und kostengünstige Methode für rechtsgültige Einhaltung der Sicherheitsanforderungen aller großen Kreditkartengesellschaften einschließlich:

• Visa Canada Account Information (AIS) program

• Visa USA Cardholder Information Security Program (CISP)

• American Express Data Security Operating Policy (DSOP)

• Discover Information Security and Compliance (DISC) program

• MasterCard Site Data Protection (SDP) program

Ende 2004 wurden die Bestimmungen für die Datensicherheit der Kreditkartenvereinigung zum Data Security Standard (Datensicherheitsstandard) der Payment Card Industry (Kreditkartenindustrie) PCI zusammengefasst. Die Data Security Standards (DSS)  der Payment Card Industry (PCI) werden jetzt von allen Händlern gefordert, einschließlich:

• Einzelhandel (klassisch),

• Mail/Telefon-Bestellservice

• e-Commerce

 

PCI DSS Mindestanforderungen

Jeder Händler, der sich an das Internet anschließt, muss überprüft werden. Die Überprüfung wird für alle Internetanschlusspunkte verlangt, gleichgültig ob es sich um Heim- bzw. Büroanschlüsse (Dial-up, Modem, DSL, Kabel oder Wi-Fi) oder um permanente Internet Server wie z.B. eine Webseite, Mail, FTP, usw., handelt.
 

Risikomanagement durch PCI-Datensicherheitsstandards

PCI legt den Schwerpunkt auf sechs Hauptsicherheitsbereiche und erfüllt damit zwölf Anforderungen, die auf alle Systemkomponenten anzuwenden sind.

Bauen Unterstützen Sie em Sichere Netz

1 Stellen sie auf und unterstützen die Konfiguration der Brandmauer, um die Daten zu schützen.

2 Nicht verwenden vendor-supplied die Falschung für Kennwörter des Systems und anderen Parameter der Sicherheit

• Wir können wir Ihnen nicht nur mit der Technologie, als auch der Konfiguration aller Komponenten des Systems, die nach den Standards der Industrie gegründet sind,  dass Sie die Auszeichnung des kriteriums für das sichere Netz gewährleisten.

Schützen Sie die Besitzerdaten der Kreditkarte

3 Schützen die gespeicherten Daten

4 Haben die Datenübertragung des Besitzers der Kreditkarte und der empfindlichen Information quer über die öffentlichen Netze chiffriert

• Die sind viel tools der Verschlüsselung, die Sie ausnutzen können, aber nicht alle diese wird den hohen Forderungen antworten. Wir haben die guten Empfehlungen und die letzte Technologie, die gebilligte und von den handels und den Regierungssektoren verwendet ist, zur Aufbewahrung der verwundbaren Daten neben der festen Führung auf der Prozedur der Verschlüsselung, einschließlich die Schlüsselverwaltung. Wir machen die Daten des Besitzers der Kreditkarte sicher für traditionelle bewahrene und unbewahrene Netze.

Pflege eines Anfälligkeitsverwaltungsprogramms

5 Verwenden und aktualisieren Sie regelmäßig eine Antivirensoftware

6 Entwickeln und pflegen Sie sichere Systeme und Anwendungen.

• Abhängig von Ihrer Infrastruktur implementieren wir eine Lösung, mit deren Hilfe Sie weitaus mehr als nur die Datenschutzkriterien erfüllen. Sie können damit Ihre Infrastruktur sichern, Ihre firmeneigenen Daten schützen und sowohl Hacker als auch unbefugte Zugriffe abwehren. Zugleich sind Sie in der Lage, Ihren Netzwerkadministrator zu entlasten, Ihre Geschäftsabläufe effektiver zu gestalten und auch noch Geld zu sparen.

Implementierung einer strengen Zugangskontrolle

7 Datenzugang beschränkt auf Berechtigte

8 Zuweisung einer einzugartigen Identität an jede Person, die Zugang hat

9 Beschränkung des phyischen Zugangs auf Daten der Karteninhaber

• Wir werden eine wirkungsvolle Zugangskontrolle für eine korrekte Identitätverwaltung sowie die physischen Sicherheitsaspekte, einschliesslich der Aufbewahrung und Löschung von Daten von Karteninhabern und anderen sensiblen Finanzdaten realisieren.

Netzwerke regelmäßig kontrollieren und warten

10 Alle Zugriffe auf Netzwerkresourcen und Daten von Karteninhabern überwachen und kontrollieren

11 Sicherheitssysteme und Prozesse regelmäßig testen

• Auf dem Markt gibt es viele Programme zur Kontrolle und Wartung Ihres Netzwerkes, aber welches ist für Sie das richtige?  Für die von Ihnen durchgeführte Kontrolle empfehlen wir empfehlen echte Technologielösungen wie Network Intrusion Detection Systeme, Host Intrusion Detection Systeme und das Prüfen der Integrität der Dateien. Wir führen sogar den vorgeschriebenen regelmäßigen Test von Sicherheitssystemen und Verfahren, inklusive regelmäßiger Vulnerability Scans und Penetration Tests, für Sie durch.

Befolgen einer Richtlinie zur Informationssicherheit

12 Befolgen einer Richtlinie zur Informationssicherheit

• Die Grundvoraussetzung für formelle Richtlinien und Verfahren beinhaltet einen Incident-Response-Plan. Wenn man bedenkt, dass dieser Bereich gerne vergessen und immer von Prüfern kontrolliert wird, sollte diese Anforderung wohl die erste gewesen sein. Effektive Sicherheitspläne sind, ohne eine korrekte Basis an Richtlinien und Verfahren, unglaublich schwer zu implementieren, aber wir haben jahrelange Erfahrung auf diesem Gebiet und werden Ihre Sicherheitsrichtlinie für Sie erstellen.

Dienste für Gewerbetreibende, Dienstleistungserbringer und Dritte
Es spielt keine Rolle, ob Sie ein kleines Geschäft betreiben oder eher hohen Umsatz haben, der SMCSP wartet mit einer professionellen Geschäftspolitik und ebensolchen Verfahren auf, um Ihren Betrieb in Einklang zu bringen mit dem PCI-Datensicherheits-Standard. Dabei konzentrieren wir uns auf die folgenden Haupt-Komponenten:

 

• Sammeln von Dokumenten und Belegen

Der PCI-Datensicherheits-Standard der Verbände verlangt das Dokumentieren und Sammeln von Belegen als Teil des MCCP-Beurteilungsverfahrens. Das Dokumentieren umfasst, ist aber nicht beschränkt auf, Sicherheitsverfahren und -prozesse, Konfigurationsdokumente und Netzwerkdiagramme.

• Analyse der Dokumente und Belege

Eine Überprüfung aller Dokumente wird zur Bestätigung der Übereinstimmung mit dem PCI-Datensicherheits-Standard benötigt. Im Laufe dieser ersten Phase werden sämtliche Gebiete, bei denen keine Übereinstimmung festgestellt werden kann, identifiziert.

• Beurteilung vor Ort

STEALTH - ISS® wird Befragungen des federführenden Geschäfts- und Betriebspersonals und die benötigten Tests durchführen, die den PCI-Datensicherheits-Standard unterstützen.

• Risiko Analyse

Wir haben Erfahrungen mit Experten gesammelt, die zur Bewertung von Sicherheitslücken modernste Technologien und Fachkenntnisse einsetzen, die dem Datensicherheitsstandard PCI entsprechen.

• Penetration Test

In Übereinstimmung mit Anforderung 10 von Visa CISP und Richtlinie 2 von Discover DISC, die jährlichen Durchdringungstests sowie zusätzlichen Tests nach bedeutsamen Veränderungen innerhalb des Netzwerkes unterzogen werden müssen, führt STEALTH - ISS® einen Penegtrationtest zur Auswertung der Sicherheit Ihrer Online-Umgebung (Internet) durch.

Abschlussberichte

STEALTH - ISS erstellt eine gesamte Dokumentation der Buchprüfung, einschließlich der Durchführungsmeldung für das Programm, um die Durchführung mit dem Datensicherheitsstandard PCI einfacher überprüfen zu können.