Der PCI DSS gilt dem Schutz von Karteninhaberdaten (wie PAN, Karteninhabername, Servicecode und Ablaufdatum) und sensible Authentifizierungsdaten (wie Spurdaten auf dem Magnetstreifen oder gleichwertige Daten auf dem Chip, CAV2 / CVC2 / CVV2 / CID und PIN) von Zahlkarten der Kartengesellschaften (American Express, Discover, JCB, Mastercard, oder Visa).

Bankkontodaten, wie Identifikationsnummern, Kontonummern, Bankleitzahlen usw., fallen in einer ersten Betrachtung nicht unter den Scope von PCI DSS. Falls eine Bankkontonummer jedoch gleichzeitig auch eine PAN ist oder die PAN enthält, muss PCI DSS auch auf diese angewendet werden.

Weiterhin muss beachtet werden, dass einige Bankkontonummern wie IBAN (International Bank Account Number) bis zu 10 Ziffern der PAN enthalten können. Falls die Anzahl der PAN-Ziffern, die in einer IBAN oder einer anderen Kontonummer enthalten sind, die PCI-Anforderungen hinsichtlich der Kürzung (Truncation) nicht erfüllen (siehe FAQ 1091), werden diese als PAN im Sinne von PCI DSS angesehen und müssen die PCI-Anforderungen an die Verarbeitung, Übertragung und Speicherung erfüllen.

Für die Fälle bei denen PCI DSS nicht auf Bankkontodaten die Elemente der PAN enthält angewendet werden muss, empfehlen wir den Schutz dieser Bankkontodaten auf ähnlichen Weise, wie in den PCI-Standards vorgesehen um dem Missbrauch dieser Daten vorzubeugen. Hier bietet der PCI-Standard mit seinen Anforderungen einen weltweit anerkannten „Industry Best Practice“-Ansatz.

The PIN Transaction Security Working Group has updated the POI Modular Security Requirements, the supporting Derived Test Requirements and the POI Modular Evaluation Vendor Questionnaire. These documents are aimed at manufacturers of ATMs and POS devices.

Die PIN-Transaction Security-Arbeitsgruppe hat die Anforderungen an die POI Modular Security, die unterstützenden Testanforderungen und den POI-Modular Vendor Questionnaire aktualisiert. Diese Dokumente sind für Hersteller von Geldautomaten und POS-Geräte gedacht.