ISO 9001 Certificate
Konformität

PCI DSS

Der Sicherheitsstandard für Daten in der Zahlungskartenbranche (PCI DSS) definiert eine Reihe von Sicherheitsnormen, um sicherzustellen, dass Unternehmen, die Kredit-/Debitkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten und den Karteninhaber vor Missbrauch persönlicher Informationen schützen.

Eine der effizientesten Möglichkeiten, PCI DSS zu erfüllen, ist die Verwendung von HSMs.

Übersicht

PCI DSS certified

PCI-Datensicherheitsstandard (PCI DSS)

Das PCI DSS ist ein übergeordneter Standard, der für alle Organisationen gilt, die Karteninhaberdaten speichern, verarbeiten und/oder übertragen. Sie umfasst technische und betriebliche Komponenten, die in den Systemen enthalten oder mit ihnen verbunden sind, welche Karteninhaberdaten berühren. Wenn Sie Zahlungskarten in irgendeiner Form akzeptieren oder verarbeiten, müssen Sie die in PCI DSS definierten Standards befolgen.

PCI PTS certifiied

Anforderungen an die PIN-Transaktionssicherheit (PTS)

Die PCI PTS ist eine Reihe von Sicherheitsanforderungen, die für die Hersteller gelten, die Geräte für Finanztransaktionen mittels Zahlungskarten herstellen. Die Anforderungen sind von den Herstellern bei der Konstruktion, der Herstellung und dem Transport eines Geräts an den Ort zu befolgen, wo es eingesetzt wird. Finanzinstitute, Verarbeiter, Händler und Dienstleister sollten nur Geräte oder Komponenten verwenden, die vom PCI-SSC getestet und genehmigt wurden.

PCI PA DSS validated

Datensicherheitsstandard für Zahlungsanwendungen (PA-DSS)

Das PA-DSS richtet sich an Softwareanbieter und andere, die Zahlungsanwendungen entwickeln, welche Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. Die meisten Kartenmarken fordern Händler auf, Zahlungsanwendungen zu verwenden, die vom PCI SSC getestet und für gut befunden wurden.

Utimaco Atalla AT1000 Banner

Erfahren Sie mehr

 

PCI DSS Protection of Cardholder Data

 

 

Hardware-Sicherheitsmodul (HSM) und PCI

Alle HSM-Anbieter für Zahlungen müssen die in PCI PTS HSM definierten Standards einhalten, um ein konformes und sicheres Hardware-Sicherheitsmodul zu entwerfen und Zahlungsvorgänge abwickeln zu können. Ein PCI-PTS-zertifiziertes HSM ist der Schlüssel, mit dem Benutzer die PCI-DSS-Konformität erreichen.

Die PCI PTS HSM-Standards sind in zwei Abschnitte, physikalische und logische Sicherheit, unterteilt. Einige Anforderungen, die die physische Sicherheit des HSM definieren, leiten sich aus den Anforderungen des Federal Information Processing Standard 140-2 (FIPS 140-2) ab. Die Zertifizierung gewährleistet einen aktiven Reaktionsmechanismus bei Manipulationen und setzt geheime und private Schlüssel während eines Penetrations- und Seitenkanalangriffs auf Null.

Der PCI HSM-Standard deckt den Lebenszyklus des HSM bis zur ersten Lieferung zum ersten Einsatzort ab. Nachfolgende Phasen des HSM-Lebenszyklus sind für PCI weiterhin von Interesse und werden von anderen PCI-Standards gesteuert.

Die PCI HSM-Sicherheitsanforderungen leiten sich von bestehenden ISO-, ANSI- und NIST-Standards sowie von akzeptierten/bekannten bewährten Praktiken ab, die von der Zahlungsbranche anerkannt werden. Die Anforderungen sind in vier verschiedene Bewertungsbereiche unterteilt:

  • Evaluationsmodul 1 – Dieses Modul definiert die wichtigsten Sicherheitsanforderungen, einschließlich der physischen und logischen Sicherheit des HSM sowie der Richtlinien und Verfahren, die befolgt werden müssen.
  • Evaluationsmodul 2 – Dieses Modul definiert Schlüsselladeverfahren und Geräte, die zum Laden von Schlüsseln im HSM verwendet werden.
  • Evaluationsmodul 3 – Dieses Modul deckt den Fernverwaltungsaspekt des HSM ab.
  • Evaluationsmodul 4 – Dieses Modul deckt die Anforderungen an die Gerätesicherheit während der Herstellung und zwischen Hersteller und Ort der erstmaligen Bereitstellung ab.

Utimaco HSM und PCI-Compliance

Die HSM von Utimaco basieren auf den vom PCI-Rat, ISO, NIST und ANSI festgelegten Grundprinzipien. Dazu gehören unser Atalla AT1000 und der PaymentServer.

Kontakt

Ihre Fragen beantworten wir sehr gerne.

Wie können wir Ihnen helfen?

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Sie unterstützen kann.