PCI DSS v3.2 News
Das PCI Council veröffentlicht im April 2016 die neue v3.2 des PCI DSS Standards.
Das Sunset-Date für die aktuelle Version 3.1 wird 6 Monate nach Veröffentlichung der v3.2 sein. Daraus folgert, dass Audits nach v3.2 spätestens ab Oktober 2016 verpflichtend sein werden.
Die in der v3.2 neu eingeführten Anforderungen werden verpflichtend ab 1. Februar 2018. Bis zu diesem Datum sind die neu eingeführten Anforderungen als Best Practice anzuwenden.
Folgende wesentliche Punkte werden in der v3.2 des PCI DSS Standards enthalten sein:
- Die aktualisierten Deadlines für die SSL/TLS Migration
- Ein zusätzlicher Anhang welcher die Thematik SSL/TLS beschreibt
- Ein zusätzlicher Anhang zu den DESV Anforderungen (Designated Entities Supplemental Validation)
- Überarbeitete Anforderungen an die Anzeige von PAN-Daten (mehr als 6X4), falls ein entsprechender „Business Need“ besteht
- Einführung der Begrifflichkeit „multi-factor“ Authentifizierung anstelle von „two-factor“
- Multi-Factor Authentifizierung ist erforderlich für Personen mit administrativen Zugriff auf die CDE, nicht nur für remote access Zugriffe
Für Service Provider gelten folgende weitere Anforderungen:
- Dokumentation der kryptographischen Architektur
- Penetrationstests auf die „Segmentation Controls“ alle 6 Monate, anstelle jährlicher Tests
- Notwendigkeit von vierteljährlichen Bestätigungen, dass Mitarbeiter den Anforderungen der Security Policies und Prozeduren Folge leisten
- Einführung eines formalen PCI DSS Compliance Programms
- Identifikation und Dokumentation von Fehlern in den „critical security control systems“
PA-DSS v3.2 News
Das PCI Council wird im Mai 2016 die neue Version 3.2 des PA-DSS Standards veröffentlichen.
Die neue Version wird notwendig um die Änderungen in PCI DSS v3.2 zu berücksichtigen und den PA-DSS daran anzugleichen. Eine Übergangsfrist wird in der v3.2 noch definiert werden, um laufende v3.1-Validierungen abschließen zu können.