Newsletter 1/2015

Mit diesem Newsletter möchten wir Ihnen einige Vorab-Informationen zu den kommenden Versions-Updates der PCI-Standards zur Verfügung stellen. Hier die wichtigsten Topics:

1. P2PE neue Version 2.0 in Vorbereitung
2. Version-Update v3.1 für PCI DSS und PA-DSS

P2PE Version 2 in finaler Vorbereitung!

Das PCI Council kündigt eine neue Version v2.0 des P2PE-Standards für das 2. Quartal 2015 an. Voraussichtlich werden folgende Erweiterungen und Anpassungen darin umgesetzt und veröffentlicht:

  1. Die bisherigen Domains des Standards werden neu strukturiert um die Übersichtlichkeit und Zuordnung der Anforderungen zu den jeweiligen Lösungskomponenten zu optmimieren.
  2. Die beiden bisherigen separaten Standard-Dokumente für Hardware/Hardware- und Hardware/Hybrid-Lösungen werden in ein einziges Dokument zusammengeführt.
  3. Die Anforderungen an das Dokument PIM (P2PE Instruction Manual) werden aus dem Standard-Dokument weitgehenst entfernt und in ein separates PIM Template überführt. Dadurch sind die Anforderungen für das PIM-Dokument an einer zentralen Stelle übersichtlich zusammengeführt.
  4. Einführung einer neuen Domain 4 für „Merchant-Managed P2PE-Lösungen“, bei denen die Encryption/Decyptionen-Funktionen durch typischerweise grosse Händler in deren Filialen selbst betreiben und administriert werden.

PCI DSS und PA-DSS Revision v3.1, Update announced!

Das PCI Council kündigt ein kurzfristiges Update des PCI DSS und PA-DSS Standards in der Version 3.1 an. Hierin werden Änderungen und Klarstellungen zu einigen Anforderungen durchgeführt. Eine weitere wesentliche Änderung wird hinsichtlich SSL getroffen werden. Hier besteht die Aussage, dass aufgrund der bestehenden Schwachstellen der aktuellen SSL-Versionen nicht mehr die PCI-Anforderungen an eine „strong cryptography“ erfüllen sind und somit zukünftig nicht mehr den PCI-Anforderungen entsprechen werden. Die neue Version 3.1 ist noch für das 1. Quartal angekündigt und soll unverzüglich in Kraft treten.