33 Antworten auf die wichtigsten Fragen zum Payment Card Industry Data Security Standard. Die wichtigsten Fragen!

Transkript

1 Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Die wichtigsten Fragen! 01. Was ist PCI DSS? 02. Was ist der PCI SSC? 03. Welche Anforderungen stellt der PCI DSS? 04. Wer ist an der Einhaltung des PCI DSS gebunden? 05. Wird zwischen unterschiedlichen Arten von Händlern unterschieden? 06. Wird zwischen unterschiedlichen Arten von Dienstleistern unterschieden? 07. Welche PCI DSS-pflichten bestehen für Händlerbanken? 08. Welche Vorteile hat die Umsetzung des PCI DSS? 09. Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS? 10. Was sind Zahlungskarten (Payment Cards)? 11. Was sind Zahlungskartendaten? 12. Was sind Karteninhaberdaten (Card Holder Data)? 13. Was sind vertrauliche Identifizierungsdaten (Sensitive Authentication Data)? 14. Welche Bestandteile von Karteninhaberdaten dürfen gespeichert werden? 15. Welche Bestandteile der vertraulichen Identifizierungsdaten dürfen gespeichert werden? 16. Wann speichere, verarbeite oder leite ich Kreditkartendaten weiter? 17. Was passiert im Falle der Kompromittierung von Kartendaten? 18. Wie erreiche ich als Händler PCI DSS-Compliance (Umsetzung und Einhaltung von PCI DSS)? 19. Wie erreiche ich als Dienstleister PCI DSS-Compliance (Umsetzung und Einhaltung von PCI DSS)? 20. Was ist ein SAQ/Self-Assessment Questionnaire? 21. Was ist ein Security Scan? 22. Was ist ein Onsite Audit? 23. Wie lange dauert die Erstellung eines Security Scan Reports? 24. Wie viele IP-Adressen sind beim Security Scan inklusive? 25. Wie häufig müssen Security Scans und Onsite Audit wiederholt werden? 26. Wann ist ein Re-Audit zu wiederholen? 27. Was ist ein QSA (Qualified Security Assessor)? 28. Was ist ein ASV (Approved Scan Vendor)? 29. Wie sieht der PCI DSS Zertifizierungsablauf aus? 30. Mit welchem Zeitaufwand ist die Umsetzung des PCI DSS verbunden? 31. Wann erfolgt nach Sicherheitsverletzung und Einordnung in Level 1 eine Rückstufung in den vorherigen Level? 32. Welche Informationsquellen zum Thema PCI DSS gibt es im Internet? 33. Wer ist der richtigen Ansprechpartner bei Fragen zum PCI DSS und seiner Umsetzung? 1

2 1. Was ist PCI DSS? 3. Welche Anforderungen stellt der PCI DSS? Der PCI DSS () ist ein Sicherheitsstandard mit strengen Vorgaben, die den sorgfältigen und geschützten Umgang mit Zahlungskartendaten sicherstellen sollen. Der Standard wurde von den fünf wichtigsten Kreditkartenunternehmen (American Express, JCB, MasterCard, Discover Financial Services and Visa) ins Leben gerufen und umfasst sechs Sicherheitsziele: 01. Einrichtung und Betrieb eines geschützten Netzwerks 02. Schutz von aufbewahrten und übermittelten (Karteninhaber)Daten 03. Einrichtung und Betrieb eines Schwachstellen-Management-Systems 04. Umsetzung effektiver Richtlinien zur Zugriffskontrolle 05. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur 06. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit 2. Was ist der PCI SSC? Der PCI SSC (Payment Card Industry Security Standards Council) ist ein unabhängiges Gremium, das von den führenden Kreditkartenunternehmen American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International gegründet wurde. Es hat die Sicherheit der Zahlungsabwicklung mit Kredit- und Debitkarten (Zahlungskarten) zum Ziel. Der Schutz von Kartendaten soll durch die verpflichtende Umsetzung des PCI DSS () erfolgen: Dem PCI DSS unterliegen alle Unternehmen, die Kreditund Debitkartendaten speichern, verarbeiten und/oder übermitteln. Der PCI DSS umfasst zwölf Anforderungen, die oft als Digitales Dutzend bezeichnet werden. Als PCI-konform gelten Organisationen, die folgende Vorgaben einhalten: 01. Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern 02. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen 03. Schutz der gespeicherten Daten von Karteninhabern 04. Verschlüsselte Übertragung der Daten von Karteninhabern in öffentlichen Netzwerken 05. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen 06. Entwicklung und Verwendung sicherer Systeme und Anwendungen 07. Einschränkung des Zugriffs auf Kartendaten nach dem Grundsatz Kenntnis, nur wenn nötig 08. Zuweisung einer eindeutigen Benutzerkennung an jede Person mit Zugang zum Computersystem 09. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten 10. Protokollierung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Daten von Karteninhabern 11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen 12. Einrichtung einer Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner 2

3 4. Wer ist an die Einhaltung des PCI DSS gebunden? Jeder, der Kartendaten speichert, verarbeitet und/oder übermittelt, muss sich an die Sicherheitsvorgaben des PCI DSS halten. Hierbei ist die Größe der Organisation, ob Händler oder Dienstleister und der Umfang der Kartentransaktionen unerheblich. Die PCI DSS Richtlinien betreffen jedoch nicht nur Daten in digitalen Formaten. Unternehmen sind auch verpflichtet, in Schriftform vorliegende Unterlagen, aus denen Daten von Zahlungskarten und Karteninhabern ersichtlich sind, zu schützen. Organisationen, die professionelle externe Datenvernichter beauftragen, müssen dafür sorgen, dass diese Subunternehmer ebenfalls mit dem PCI DSS konform gehen. 5. Wird zwischen unterschiedlichen Arten von Händlern unterschieden? 6. Wird zwischen unterschiedlichen Arten von Dienstleistern unterschieden? Dienstleister, die Kreditkartentransaktionen verarbeiten, werden in drei Kategorien eingestuft: Kategorie 1: alle Datenverarbeiter von Kartenzahlungen (Payment Processors) und Payment-Gateways. Kategorie 2: jeder nicht zu Kategorie 1 zählende Dienstleister, der jährlich mehr als eine Million Kartenabrechnungen oder -transaktionen verarbeitet. Kategorie 3: jeder nicht zu Kategorie 1 zählende Dienstleister, der jährlich weniger als 1 Million Kartenabrechnungen oder -transaktionen verarbeitet. Händler werden je nach Umfang ihrer jährlichen Kartentransaktionen in vier Level eingestuft: Level 1: Händler mit mehr als sechs Millionen Kartentransaktionen pro Jahr /Kartenmarke über alle Vertriebskanäle und Händler, deren kartenspezifische Kundendaten bereits kompromittiert wurden Level 2: Händler mit ein bis sechs Millionen Kartentransaktionen pro Jahr/Kartenmarke über alle Vertriebskanäle Level 3: Händler mit bis 1 Million Kartentransaktionen pro Jahr/Kartenmarke Level 4: alle anderen Händler Abhängig von ihrer Kategorie müssen Dienstleister unterschiedliche externe und interne Audits bestehen, um PCI- Compliance zu erreichen und dauerhaft aufrecht zu erhalten. Abhängig von ihrer Level müssen Händler unterschiedliche externe und interne Prüfungen (Scans, Audits) bestehen, um PCI-Compliance (Umsetzung/Einhaltung des PCI DSS) zu erreichen und dauerhaft aufrecht zu erhalten. 3

4 7. Welche PCI DSS-Pflichten bestehen für Händlerbanken? Händlerbanken (Acquirer/Merchant Banks) sind derzeit nicht zur Durchführung besonderer PCI DSS-Kontrollen oder -Zertifizierungen verpflichtet. Sie selbst haben jedoch die PCI DSS-Vorgaben ebenfalls einzuhalten, indem sie eigene interne Audits durchführen (gemäß den Kriterien des Selbstbewertungs- Fragebogen/Self-Assessment Questionnaire) oder diese von externen Sicherheitsgutachtern (Qualified Security Assessors, QSAs) durchführen lassen. Darüber hinaus müssen Händlerbanken die Einhaltung des PCI DSS für folgende Gruppen sicherstellen: ihre Händler alle Dienstleister, über die sie oder ihre Händler Zahlungskartendaten speichern, übermitteln oder verarbeiten Alle Händlerbanken müssen von Händlern eine offizielle Zertifizierung ihrer PCI-Compliance erhalten. Dabei haben Banken dafür Sorge zu tragen, dass Händler und Dienstleister die für sie jeweils geltenden Audit-Anforderungen korrekt erfüllen. Schutzmaßnahmen bei der Verarbeitung von Zahlungskartendaten unter Einhaltung des PCI Standards haben Sie vor allem folgende Vorteile: erhöhte Datensicherheit und erhöhter Schutz Ihrer Kundendaten gesteigertes Kundenvertrauen und somit ggf. Steigerung des Karteneinsatzes und -umsatzes größere Absicherung von finanziellen Schäden und Schadenersatz aufgrund von Sicherheitsverletzungen Schutz des Unternehmensimages Bewertung des Sicherheitsschutzes von Systemen zur Speicherung, Verarbeitung und/oder Übermittlung von Karteninhaberdaten Datenminimierung und -vermeidung führen zur Reduzierung des Unternehmensrisikos Optimale Netzwerkstrukturierung reduziert die Kosten der Aufrechterhaltung der PCI Compliance 9. Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS? Compliance-Berichte müssen für monatlich zusammengestellte Statusreports von Händlerbanken an die Kreditkartenunternehmen verwendet werden. Sämtliche Dokumente zum Compliance- Nachweis sind aufzubewahren und den Kartenunternehmen auf Nachfrage auszuhändigen. Im Idealfall sollten Händlerbanken dafür sorgen, dass Dienstleister diese Dokumente direkt an die Kartenverbände übermitteln. 8. Welche Vorteile hat die Umsetzung des PCI DSS? Der PCI DSS mit seinen verbindlichen Regeln für mehr IT-Sicherheit soll die Betrugskriminalität verhindern. Durch verstärkte Wird der PCI DSS nicht eingehalten, drohen im Schadensfall schwerwiegende Konsequenzen. Unternehmen müssen mit Geldstrafen in sechsstelliger Höhe und ggf. sehr hohen Prozesskosten rechnen. Treten bei Händlern und Dienstleistern der Level 2 bis 4 Sicherheitsverletzungen auf, werden sie in Level 1 hoch-gestuft. Eine Einordnung in dieses Level ist mit höheren Kosten verbunden, da umfassendere Compliance-Prüfungen erforderlich sind. Zusätzlich können bekannt gewordene PCI- Verstöße das Ansehen eines Unternehmens nachhaltig schädigen und schwindendes Kundenvertrauen zur Folge haben mit entsprechenden Geschäftsverlusten. 4

5 10. Was sind Zahlungskarten (Payment Cards)? Im Sinne des PCI DSS zählen zu Zahlungskarten alle Kredit-/Debit-/ Geldautomaten-Karten, die durch bzw. im Namen von American Express, Discover, JCB, MasterCard oder Visa ausgegeben werden. 11. Was sind Zahlungskartendaten? Zu Zahlungskartendaten zählen Informationen über Kredit-/Debitkarten und ihren Besitzern. Diese Daten werden in zwei Kategorien unterteilt, Kartenin-haberdaten (Card Holder Data) und vertrauliche Identifizierungsdaten (Sensitive Authentication Data). Der PCI DSS schreibt für Datenbestandteile, die zu diesen Kategorien zählen, besondere Einschränkungen bei der Aufbewahrung vor. 13. Was sind vertrauliche Identifizierungsdaten (Sensitive Authentication Data)? Mit vertraulichen Identifizierungsdaten werden Sicherheitsinformationen bezeichnet, mit denen Karteninhaber sich identifizieren/authentifizieren und Kartentransaktionen autorisieren kann. Hierzu zählen die Daten des Magnetstreifens und die Kartenprüfnummer (Card Validation Code, CVC2, oder Card Verification Value, CVV2). Der CVC2/CVV2 besteht aus drei oder vier Ziffern und ist auf der Vorder- oder Rückseite einer Kreditkarte aufgedruckt. 14. Welche Bestandteile von Karteninhaberdaten dürfen gespeichert werden? Ihre Kunden zum Abschluss des Einkaufs in einem Web- Shopsystem auf eine Bezahlmaske (Payment-Page) Ihres Acquirers/Payment Service Providers weiterleiten, so dass diese die Zahlungsinformationen auf einem System des Acquirers/Payment Service Providers eingeben, Auch Offline-Transaktionen im Terminal bei Face-To-Face-Geschäften. Der PCI DSS legt fest, welche Karteninhaberdaten im Einzelnen gespeichert werden dürfen und wie sie zu schützen sind. Die Speicherung von PAN, Karteninhabername und Ablaufdatum sind unter der Voraus-setzung erlaubt, dass kein unbefugter Zugriff darauf erfolgen kann. Der Schutz muss mit Hilfe einer leistungsfähigen Verschlüsselungsmethode gewährleistet werden. Sollten Sie sich nicht sicher sein, ob Sie Kartendaten auf Ihren Systemen speichern, verarbeiten oder weiterleiten, wenden Sie sich im Zweifelsfall bitte an 12. Was sind Karteninhaberdaten (Card Holder Data)? 15. Welche Bestandteile der vertraulichen Identifizierungsdaten dürfen gespeichert werden? Keine. Die vertraulichen Identifizierungsdaten (Sensitive Authentication Data) dürfen selbst im verschlüsselten Zustand nach der Autorisierung einer Transaktion nicht gespeichert werden. Zu Karteninhaberdaten zählen alle Informationen einer Kreditoder Debitkarte, die im Rahmen einer Transaktion verwendet werden. Hierzu gehören üblicherweise die auf der Kartenvorderseite zu findende Primary Account Number (PAN, verkürzte Bankleitzahl), der Name des Karteninhabers und das Ablaufdatum der Karte. Diese und weitere Daten werden auf dem Magnetstreifen auf der Kartenrückseite gespeichert. 5

6 16. Wann speichere, verarbeite oder leite ich Kartendaten weiter? 17. Was passiert im Falle der Kompromittierung von Kartendaten? Sie speichern, verarbeiten oder leiten Kartendaten weiter, wenn Sie Kartendaten auf Ihren eigenen Systemen von Ihren Kunden entgegennehmen, sei es zur dauerhaften Speicherung oder zur kurzfristigen Verarbeitung, um die Daten anschließend an einen PSP/Processor weiterzuleiten. Dies ist beispielsweise der Fall, wenn Sie eine direkte Schnittstelle (API-Application Programming Interface) zu einer Payment- Lösung Ihres Payment Service Providers nutzen. Maßgeblich an dieser Stelle ist, ob Ihre Kunden die Kreditkartendaten an Ihr(e) System(e) schicken. Ob die Kreditkartendaten von Ihrem System dann nur noch weitergereicht werden, hat keinen Einfluss mehr, denn Sie erfüllen bereits die Kriterien zur Verarbeitung von Kartendaten. Nur genau dann, wenn Sie zu KEINEM Zeitpunkt Kartendaten (Kartennummer, Verfallsdatum) auf Ihren eigenen Systemen speichern oder verarbeiten (auch entgegennehmen), speichern oder verarbeiten Sie keine Kartendaten. Dies ist beispielsweise der Fall, wenn Sie ein Web-Shopsystem eines Drittanbieters verwenden und selbst keinerlei Zugriff auf die durch Ihre Kunden eingegebenen Kartendaten haben, Ihre Kunden zum Abschluss des Einkaufs in einem Web-Shopsystem auf eine Bezahlmaske (Payment-Page) Ihres Acquirers/ Payment Service Providers weiterleiten, so dass diese die Zahlungsinformationen auf einem System des Acquirers/ Payment Service Providers eingeben, auch Offline-Transaktionen im Terminal bei Face-To-Face-Geschäften durchführen. Sollten Sie sich nicht sicher sein, ob Sie Kartendaten auf Ihren Systemen speichern, verarbeiten oder weiterleiten, wenden Sie sich im Zweifelsfall bitte an Sollten Kartendaten von Systemen bei Händlern, Service Providern oder anderen Dienstleistern kompromittiert werden, so fallen hier empfindliche Vertragsstrafen an, so wird zunächst eine Ursachenforschung (forensische Untersuchung) durchgeführt. Ziel dieser Untersuchung ist es, die Schwachstellen im System festzustellen und den Compliance-Stand zum Zeitpunkt der Kompromittierung festzustellen. Falls nach dieser Prüfung festgestellt wurde, dass dies nicht der Fall ist, erwarten den betroffenen Händler empfindliche Strafen. 18. Wie erreiche ich als Händler PCI DSS-Compliance (Umsetzung/Einhaltung des PCI DSS)? Der PCI DSS gilt als eingehalten, wenn dessen zwölf Anforderungen umgesetzt und diese Umsetzung nachgewiesen werden kann. Die PCI DSS-Implementierung und -Einhaltung wird wie folgt kontrolliert: Für Händler des Levels 1: durch ein jährliches Sicherheits-Audit vor Ort und vierteljährliche Netzwerk-Scans Die Auditierung vor Ort im Unternehmen erfolgt durch einen Sicherheitsgutachter, den Qualified Security Assessor (QSA). Für Händler der Level 2 bis 4: jährliche Beantwortung eines PCI-Fragebogens und vierteljährliche Netzwerk-Scans. Der PCI- Fragebogen zur Selbstbewertung wird unternehmensintern durch den Händler bearbeitet. Netzwerk-Scans werden durch einen zugelassenen Sicherheitsprüfer durchgeführt, den Approved Scanning Vendor (ASV). 6

7 19. Wie erreiche ich als Dienstleister PCI DSS-Compliance? Der PCI DSS gilt als eingehalten, wenn dessen zwölf Anforderungen umgesetzt und diese Umsetzung nachgewiesen werden kann. Die PCI DSS-Implementierung und -Einhaltung wird wie folgt kontrolliert: Für Dienstleister der Kategorien 1 und 2: durch ein jährliches Sicherheits-Audit vor Ort und vierteljährliche Netzwerk-Scans. Die Auditierung vor Ort im Unternehmen erfolgt durch einen Sicherheitsgutachter, den Qualified Security Assessor (QSA). Für Dienstleister der Kategorie 3: jährliche Beantwortung eines PCI-Fragebogens und vierteljährliche Netzwerk- Scans. Der PCI-Fragebogen zur Selbstbewertung wird zugelassenen Sicherheitsprüfer durchgeführt, den Approved Scanning Vendor (ASV). 20. Was ist ein SAQ/Self-Assessment Questionnaire? Ein Händler (Level 2-4) muss jährlich eine Bewertung der technischen und organisatorischen Maßnahmen durch Beantwortung des vorgegebenen PCI Self-Assessment Questionnaires (Selbstbewertungsfragebogen) als Online-Fragebogen durchführen. Der Selbstbewertungsfragebogen wird unternehmensintern ohne die Hilfe externer Dritter bearbeitet. Abgefragt werden der aktuelle und zurückliegende Sicherheitsstatus des Firmennetzwerks. Schutz der Karteninhaberdaten (Protect Cardholder Data), Aufrechterhaltung eines Programms zur Handhabung der Schwachstellen (Maintain a Vulnerability Management Program), Einführung von strengen Zugriffskontrollmaßnahmen (Implement Strong Access Control Measures), Regelmäßige Überwachung und Untersuchung der Netzwerke (Regularly Monitor and Test Networks) sowie Aufrechterhaltung einer Informationssicherheitspolitik (Maintain an Information Security Policy). Mit dem Fragebogen wird die Einhaltung der Anforderungen des PCI Data Security Standards mittels Selbstauskunft geprüft. 21. Was ist ein Security Scan? Security Scans haben das Ziel, Schwachstellen in Architektur und Konfiguration der untersuchten Systeme aufzudecken, die ein Angreifer ausnutzen könnte, um Kreditkartendaten zu kompromittieren. Die Systeme werden dabei aus dem Internet netzseitig mit Hilfe von Security Scannern und manuellen Analysen auf mögliche Schwächen hin untersucht. Die eingesetzten Werkzeuge prüfen auf bekannte Schwächen von Netzwerkkomponenten, Betriebssystemen und Applikationen. Die Fragen beinhalten zwölf Anforderungen und betreffen sämtliche sechs Bereiche des PCI Data Security Standards: Aufbau und Instandhaltung des sicheren Netzwerks (Build and Maintain a Secure Network), 7

8 22. Was ist ein Onsite Audit? Im Rahmen des Security Audits wird bei Händlern der Kategorie Level 1 zusätzlich zum Security Scan eine Sicherheitsprüfung durch Ortsbegehung vorgenommen. Die Prüfung deckt die o.g. sechs Bereiche des PCI Data Security Standards ab und beinhaltet u.a.: 25. Wie häufig müssen Security Scans und Onsite Audit wiederholt werden? Die Häufigkeit der durchzuführenden Analysen (Fragebogen- SAQ, Penetrationstest-Security Scan, Ortsbegehung-Security Audit) hängt vom Transaktionsvolumen ab und liegt zwischen ein- und viermal pro Jahr. Vorstellung des Geschäftsmodells, Ablauf einer Kartentransaktion innerhalb der IT-Systeme (Datenfluss), Interviews mit Mitarbeitern, insbesondere auch mit Personen, die - Sicherheitsfunktionen im Unternehmen wahrnehmen, - Zugriff auf Kartendaten haben, für die Wartung und den Betrieb von Systemen verantwortlich sind, auf denen Kreditkartendaten gespeichert, verarbeitet oder weitergeleitet werden Einsichtnahme in Logdateien der relevanten Anwendungen, Besichtigung der Räume, des Rechenzentrums, des Serverraums, usw. 23. Wie lange dauert die Erstellung eines Security Scan Reports? Die Erstellung eines Reports zu einem durchgeführten Security Scan dauert in der Regel fünf Werktage. Sie werden vom Zertifizierer per informiert, sobald der Report verfügbar ist. 26. Wann ist ein Re-Audit durchzuführen? Z.B. Änderungen in der Systemlandschaft führen auf jeden Fall zum Re-Audit. 27. Was ist ein QSA (Qualified Security Assessor)? QSAs sind Revisions-Spezialisten, die in ihrer Funktion als professionelle Sicherheitsgutachter Unternehmen gemäß PCI DSS vor Ort auditieren und bestätigen, dass deren Schutzmaßnahmen die PCI-Anforderungen erfüllen. Eine Liste der internationalen QSAs ist hier verfügbar: Was ist ein ASV (Approved Scan Vendor)? Ein zugelassener Sicherheitsprüfer (ASV) unterstützt an den PCI DSS gebundene Unternehmen, indem er im Rahmen des PCI DSS Schwachstellen- und Sicherheits-Scans des Netzwerks durchführt. 24. Wie viele IP-Adressen sind beim Security Scan inklusive? Die Anzahl der im Security Scan beinhalteten IP Adressen ist je nach vorhandener Systemlandschaft verschieden und bezieht sich immer auf die für PCI DSS relevanten Systeme. Eine Liste der internationalen ASVs ist hier verfügbar: 8

9 29. Wie sieht der PCI DSS Zertifizierungsablauf aus? Registrierung auf der PCI DSS Plattform Händlerklassifizierung Assistent zur SAQ Auswahl Durchführung des SAQ Self Assessment Questionnaire (Level 4) Self Assessment Questionnaire (Level 2-3) Self Assessment Questionnaire (Level 1 obligatorisch) Security Scan (Level 4) Security Scan (Level 2-3) Security Scan (Level 1) Security Audit (Level 1) Berichterstellung PCI Compliance Validation 9

10 30. Mit welchem Zeitaufwand ist die Umsetzung des PCI DSS verbunden? 33. Wer ist der richtige Ansprechpartner bei Fragen zum PCI DSS und seiner Umsetzung? Es gibt keine pauschalen Richtwerte für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS, da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung unterschiedlich verläuft. Für individuelle Fragen zum PCI DSS ist ein akkreditierter PCI- Zertifizierer zuständig oder wenden Sie sich an die Postbank P.O.S. Transact GmbH unter 31. Wann erfolgt nach Sicherheitsverletzung und Einordnung in den Level 1 eine Rückstufung in den vorherigen Level? Die Rückstufung in ein vorheriges Level erfolgt nach Ablauf von bis zu zwei Jahren. Im ersten Jahr müssen sämtliche Verfahrensfehler, die zur Sicherheitsverletzung geführt haben, beseitigt werden. In einer Bewährungsfrist von bis zu zwei Jahren, müssen sich die neuen Sicherheitsmechanismen beweisen und dürfen keine weiteren Sicherheitsverletzungen auftreten. 32. Welche Informationsquellen zum Thema PCI DSS gibt es im Internet? PCI Security Standards Council Weiterführende PCI-Dokumente supporting_documents.htm Antworten zum PCI DSS Bei Rückfragen zum Postbank Servicevertrag zur Kartenakzeptanz wenden Sie sich bitte an: Postbank Service Kartenakzeptanz Nürnberg Tel.: Fax: kreditkarten@postransact.de 10