Die PIN Security Requirements müssen von allen Institutionen erfüllt werden, die auf der Acquiring-Seite Transaktionen von Geldautomaten oder POS-Terminals entgegennehmen oder verarbeiten. Hierzu gehören Banken, deren Prozessoren und auch Netzbetreiber.
Die Anfoderungen des PCI PIN Security Standards enthalten umfassende Vorgaben hinsichtlich der Eigenschaften der eingesetzten Hardware, z.B. bzgl. der Manipulationssicherheit und auch der Qualität des zur Schlüsselerzeugung eingesetzten Zufallszahlengenerators, sowie der verwendeten Verschlüsselungsverfahren. Die Anforderungen an wohldefinierte, dokumentierte und nachvollziehbar gelebte Prozesse für alle Verschlüsselungsschlüssel, die in Verbindung mit der PIN-Verarbeitung stehen, erstrecken sich über deren gesamten Lebenszyklus: von der Schlüsselgenerierung, -empfang oder –transfer und –ablage über das Laden der Schlüssel und schließlich der Vernichtung der nicht mehr benötigten Schlüsselkomponenten. Für alle diese Vorgänge werden detaillierte und dokumentierte Verfahrensanweisungen benötigt, die zu jeder Zeit befolgt werden müssen. Dies schließt u.a. auch die manuelle Erstellung von Log-Einträgen zu jeder Phase des Lebenszyklus einen Schlüssels ein.
Der PCI PIN Security Standard enthält darüber hinaus eine Reihe von Regelungen im Zusammenhang mit dem Management der verwendeten Hardware. Hierunter fällt z.B. auch die Nachvollziehbarkeit des gesamten Lebenszyklus jedweder HSMs, EPPs und POS-Terminals vom Zeitpunkt der Herstellung bzw. Lieferung bis zum Zeitpunkt der finalen Außerdienststellung, unabhängig davon, ob es sich um 5 HSMs, 50 Geldautomaten-EPPs oder 500.000 POS-Terminals handelt. Zwei normative Anhänge des Standards stellen detaillierte Anforderungen für das Laden von Schlüsseln in sicheren Räumen und für die Verteilung von symmetrischen Schlüsseln mittels asymmetrischer Techniken bereit.
Insgesamt lässt der hohe Detaillierungsgrad des PCI PIN Security Standards sehr wenige Freiräume und wenig Spielräume für Interpretationen. Mit der über 10-jährigen Erfahrung unserer Experten im Bereich PIN Security bieten wir Ihrem Unternehmen neben der Auditierung auch Workshops, Beratung und Gap-Analysen an, um sicherzustellen, dass alle Anforderungen des Standards korrekt umgesetzt sind.
Useful Links
Der PCI PIN Security Standard – der Prüfkatalog mit allen Anforderungen des Standards
Visa Europe PIN Security Infos – grundsätzliche Informationen von Visa Europe zur PIN Security