F

Wie PCI DSS 3.0 die Anforderungen für Penetration-Tests verändert

PCI DSS verlangt von Händlern, dass sie ihre Umgebungen regelmäßig Penetration-Tests unterziehen. PCI DSS 3.0 erhöht die Anforderungen nochmals.

Ich habe gesehen, dass bereits die Preview von PCI DSS 3.0 das Penetration Testing für jedermann zwingend voraussetzt, selbst für kleine und mittlere Unternehmen. Können Sie erklären, welche Vorgaben ein PCI DSS Penetration-Test erfüllen muss, um die Regulierung zu erfüllen? Was ist die günstigste Methode, mit der KMUs diese Vorgaben erfüllen können?

Sie liegen richtig. Der im November 2013 verabschiedete Payment Card Industry Data Security Standard (PCI DSS) verlangt von allen Händlern Penetration-Tests, um sicherzustellen, dass ihre Umgebungen abgesichert sind. Diese Tests sind aber keine neue Anforderung von PCI DSS 3.0. In PCI DSS 3.0 ist aber die Sprache zu diesem Thema deutlich härter. Hier sind einige Schlüsselpunkte, die Penetration-Tests in PCI DSS künftig erfüllen müssen:

  • Penetration-Tests müssen auf einem Modell basieren, das in der Industrie anerkannt ist. Ein Beispiel ist etwas das NIST SP 800-115 Framework.
  • Die Penetration-Tests müssen die komplette Umgebung des Händlers umfassen.
  • Zudem müssen die Penetration-Tests Bedrohungen sowohl auf dem Applikations-Layer wie auch dem Netzwerk-Layer abdecken.

Die Penetration-Tests müssen einmal jährlich aus einer internen und externen Perspektive durchgeführt werden. Nach einer signifikanten Änderung in der Infrastruktur oder bei Anwendungen ist ein erneutes Testen notwendig. Zusätzlich muss jede gefundene Schwachstelle behoben und erneut getestet werden.

Es gibt eine gute Nachricht: Während die meisten Änderungen von PCI DSS 3.0 Anfang 2014 umgesetzt werden müssen, haben Organisationen bis zum 15. Juli 2015 Zeit, um die neuen Vorgaben zu Penetration-Tests anzuwenden. Bis dahin sollten sie sich an die bestehenden Prozeduren aus PCI DSS 2.0 halten.

Artikel wurde zuletzt im Januar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close