Änderungen der Dokumentationsanforderungen in PCI DSS v3.0

In der neuen Version 3.0 des PCI DSS Standards wurden an vielen Stellen Überarbeitungen der Anforderungen an die PCI DSS Dokumentation durchgeführt. Diese unterteilen sich in Klarstellung zu einer bereits vorhandenen Dokumentationsanforderung, die Löschung von Dokumentationsanforderungen, die Zusammenfassung von Dokumentationsanforderungen, oder die Definition von neuen Dokumentationsanforderungen. Diese wesentlichen neuen Anforderungen wollen wir hier kurz vorstellen.

• Im Requirement 2.4 wird eine Inventarisierung aller Hard- und Softwarekomponenten des PCI-Scopes gefordert.
• Im Requirement 3.5 werden nun konkrete Beschreibungen für die Lagerung und den Zugriff auf Schlüsselmaterial notwendig.
• Im Requirement 8.4 ist nun gefordert, dass die Dokumentation für die Benutzer Anleitungen hinsichtlich der Bildung von starken Passwörter enthält.
• Im Requirement 10.6. wurden für diverse kritische Systeme Anforderungen an eine täglichen Durchsicht der Logs und die entsprechende Dokumentierung eingeführt.
• Im Requirement 11.1 sind neue Anforderung für die Inventarisierung und Dokumentation von Wireless Access Point hinzukommen. Hier ist es notwendig entsprechende Listen zu generieren und diese fortlaufend zu aktualisieren.
• Im Requirement 11.3 sind neue Anforderungen für eine formale Definition der Penetrationstest-Methodik und konkrete Handlungen und Dokumentation der Durchführung von Test hinzugefügt worden.
• Im Requirement 12.8 werden nun für die an einen Dienstleister ausgelagerten Funktionen detaillierte Informationen der hierdurch abgedeckten PCI-Requirements gefordert. Hierzu wird typischerweise eine Verantwortlichkeiten-Matrix gefordert.

Im Rahmen der Auditvorbereitung stellen wir Ihnen eine vollständige Liste aller erforderlichen Dokumentationsanpassungen zur Verfügung. Gerne stellen wir Ihnen diese Informationen auch vorab zur Verfügung, fragen Sie bei uns an.

Im Rahmen unseres Workshop-Angebots “Änderungen PCI DSS v2 zu v3″ bieten wir Ihnen, neben den Dokumentationsänderungen, umfassende Informationen zu allen Änderungen im neuen Standard an. Erfahren Sie im direkten Dialog mit dem Auditor, welche Auswirkungen die geänderten Anforderungen in ihrem speziellen Umfeld haben und wie eine mögliche Lösung aussieht. Kontaktieren Sie uns, wir unterbreiten Ihnen gerne einen Terminvorschlag.