PCI DSS - Die Zertifizierung PCI DSS v.3.2

Was ist der PCI-DSS Standard?

PCI-DSS Standard steht für “Payment Card Industry Data Security Standard”. Der PCI Standard entspricht einem Regelwerk, dass die Sicherheitsanforderungen an den Zahlungsverkehr mit Kreditkarten abbildet. Dieser Standard ist für alle Firmen, Einrichtungen und Organisationen bindend, die Kreditkarteninhaberdaten verarbeiten.

Hierbei geht es insbesondere um Anforderungen an die Datenverarbeitende Netzwerkumgebung, z.B. im Rechenzentrum. Diese decken 12 Bereiche ab:

• Firewall-Konzept
• Sicherheitseinstellungen für Passwörter
• Schutz der Daten von Kreditkarteninhabern
• Verschlüsselung von Daten
• Virenschutz
• Pflege der Systeme und Anwendungen
• Einschränkungen von Zugriffen
• Benutzerbezogene Zugangskontrolle
• Beschränkung und Sicherheit vom physikalischen Zugang zum Server
• Protokollierung der Zugriffe auf Daten
• Regelmäßige Überprüfung der Systeme
• Einhaltung von Richtlinien der Informationssicherheit

• Unser aktuelles PCI DSS v3.2.1-Zertifikat
• Die Attestation of Compliance (AOC)

Wie profitiert man von einem PCI-DSS-zertifizierten Rechenzentrum?

Unternehmen und Organisationen, die Kreditkarteninhaberdaten (CHD – „Cardholder Data“) elektronisch auf einer Kreditkarteninhaber-Umgeber (CDE – „Cardholder Environment“) verarbeiten, müssen diese Umgebung entsprechend der PCI-Richtlinien vor Datenmissbrauch und unberechtigtem Zugriff absichern und deren fortlaufenden Betrieb schützen. Des Weiteren sieht der Standard eine eindeutige Verantwortlichkeitszuordnung für die unterschiedlichen Bereiche und Aufgaben innerhalb der CDE vor. Sämtliche Zugriffe und Arbeitsschritte müssen nachverfolgt werden können. Ein wichtiger Teil beim Betrieb einer solchen Umgebung, ist die physikalische Sicherheit und die damit verbundenen Prozesse, um diese im Rechenzentrumsbetrieb zu gewährleisten. Die Nachvollziehbarkeit von Zutritt und Zugang zur Umgebung wird durch professionelle Zutrittskontrollen und Abläufe, durch eine nahtlose Videoüberwachung rund um die Uhr und durch die Protokollierung und eindeutige Zuordnung der sich im Rechenzentrum befindenden Personen und dem Datenabgleich und dessen Plausibilitätsprüfung sichergestellt.

Als Co-Location-Kunde in unserem Rechenzentrum, profitieren Sie von einer bereits von einem qualifizierten Auditor („QSA“) nach PCI zertifizierten Dienstleistung, die bis zum eigenen Rack reicht. Somit können Sie sich auf die Compliance Ihrer im Rack betriebenen Infrastruktur konzentrieren und die physikalische Sicherheit Ihres Racks (wesentliche Bestandteile der Anforderungen 9 und 12 des PCI-Anforderungskataloges, sowie Anforderung 11.1 bzgl. drahtlose Zugangspunkte) durch unsere Zertifizierung attestieren. Diese Punkte fallen für Ihr eigenes Audit weg, da Sie Ihre Zertifizierung auf der zertifizierten PCI-Compliance des Rechenzentrumbetreibers aufbauen.

E-Commerce-Anbieter, Content-Provider, Einrichtungen und Organisationen unterschiedlicher Art, die im Netz per Kreditkarte Leistungen oder Produkte anbieten oder Spenden annehmen, haben somit die Möglichkeit dies in einer PCI-Zertifizierten Rechenzentrumsumgebung in einem eigenen, individuell verschließbaren 19“ Rack (mit 21 oder 42 Höheneinheiten) umzusetzen. Gern stellen wir Ihnen zu diesem Zweck unsere Attestation of Compliance („AOC“) zur Verfügung.