PIN Security Standard – Dienstleistungen

Die PIN Security Requirements müssen von allen Institutionen erfüllt werden, die auf der Acquiring-Seite Transaktionen von Geldautomaten oder POS-Terminals entgegennehmen oder verarbeiten. Hierzu gehören Banken, deren Prozessoren und auch Netzbetreiber.

Die 32 Fragen des PCI PIN Security Standards enthalten umfassende Vorgaben hinsichtlich der Eigenschaften der eingesetzten Hardware, z.B. bzgl. der Manipulationssicherheit und auch der Qualität des zur Schlüsselerzeugung eingesetzten Zufallszahlengenerators, sowie der verwendeten Verschlüsselungsverfahren. Die Anforderungen an wohldefinierte, dokumentierte und nachvollziehbar gelebte Prozesse für alle Verschlüsselungsschlüssel, die in Verbindung mit der PIN-Verarbeitung stehen, erstrecken sich über deren gesamten Lebenszyklus: von der Schlüsselgenerierung, -emfpang oder –transfer, und –ablage über das Laden der Schlüssel und schließlich der Vernichtung der nicht mehr benötigten Schlüsselkomponenten. Für alle diese Vorgänge werden detaillierte und dokumentierte Verfahrensanweisungen benötigt, die zu jeder Zeit befolgt werden müssen. Dies schließt u.a. auch die manuelle Erstellung von Log-Einträgen zu jeder Phase des Lebenszyklus einen Schlüssels ein.

Der PCI PIN Security Standard enthält darüber hinaus eine Reihe von Regelungen im Zusammenhang mit dem Management der verwendeten Hardware. Hierunter fällt z.B. auch die Nachvollziehbarkeit des gesamten Lebenszyklus jedweder HSMs, EPPs und POS-Terminals vom Zeitpunkt der Herstellung bzw. Lieferung bis zum Zeitpunkt der finalen Außerdienststellung, unabhängig davon, ob es sich um 5 HSMs, 50 Geldautomaten-EPPs oder 500.000 POS-Terminals handelt. Zwei normative Anhänge des Standards stellen detaillierte Anforderungen für das Laden von Schlüsseln in sicheren Räumen und für die Verteilung von symmetrischen Schlüsseln mittels asymmetrischer Techniken bereit.

Insgesamt lässt der hohe Detaillierungsgrad des PCI PIN Security Standards sehr wenige Freiräume und wenig Spielräume für Interpretationen. Die der fast 10-jährige Erfahrung unserer Experten im Bereich PIN Security bieten wir Ihrem Unternehmen Workshops, Beratung und Gap-Analysen an um sicherzustellen, dass alle Anforderungen des Standards korrekt umgesetzt sind.

Useful Links

Der PCI PIN Security Standard – der Prüfkatalog mit allen Anforderungen des Standards

Visa Europe PIN Security Infos – grundsätzliche Informationen von Visa Europe zur PIN Security

News zu diesem Thema

112, 2014

Newsletter 2/2014

01.12.2014|0 Comments

Neue Awareness Workshops in 2015 In 2015 bieten wir Ihnen wieder die verschiedensten Awareness-Workshops in den Standards PCI DSS und PA-DSS. Fragen Sie nach.