PCI Security Standards Council integriert die Verschlüsselung von Mobilanwendungen ins neue PTS-Programm

Grundlage für Point-to-Point-Verschlüsselung und die Akzeptanz von mobilem Payment

(02.11.11) - Der PCI Security Standards Council (PCI SSC), ein weltweites Gremium für das Management der Datensicherheitsstandards (Data Security Standards - PCI DSS), der PIN-Transaktionssicherheit (PTS) sowie für Payment Application Data Security Standards (PA-DSS) der Kreditkartenindustrie, gibt ein Update seines PIN-Transaktionssicherheit-Program bekannt. Das Update ermöglicht die Einführung von Point-to-Point-Encryption (P2PE), um die PCS DSS Compliance zu unterstützen. Version 3.1 wurde im Rahmen des Standard PTS Development Lifecycle erarbeitet. Dieser ermöglicht kleinere Updates innerhalb von zwölf bis 18 Monaten nach der Veröffentlichung einer Hauptversion. Das Update ist ab sofort wirksam und ersetzt Version 3.0.

PTS 3.1 verfügt nun über zwei neue Genehmigungsklassen, die den Einsatz der P2PE-Technologie zur Sicherheit bei Kartenzahlungen vereinfachen. Sie bauen auf dem Secure Reading and Exchange of Data (SRED) Modul auf, das vor kurzem in der Version 3.0 vorgestellt wurde, um die sichere Verschlüsselung von Account-Daten am Point of Interaction zu unterstützen. Bislang galt das PIN Transaction Security Program nur für Zahlungsgeräte, die mit PIN arbeiten. Mit dem Release von Version 3.1 werden die Anforderungen zum ersten Mal auf den Schutz von Kundendaten auf Geräte ausgedehnt, die nicht mit PIN arbeiten. Das heißt, beliebige Kartengeräte können nun PTS-getestet und dafür zugelassen sein und kommen so für den Einsatz der Point-to-Point-Verschlüsselungstechnologie in Frage.

Darüber hinaus wurden die Anforderungen aktualisiert, um auch sichere Kartenlesegeräte (SCR) (mit Verschlüsselung) zu berücksichtigen, was die Bereitstellung der P2PE-Technologie und den Einsatz offener Plattformen, wie Mobiltelefone für Zahlungen weiter vereinfacht. Händler, die Magnetstreifenleser (MSRs) oder MSR-Plug-ins einsetzen möchten, können nun sichergehen, dass diese Geräte getestet und zugelassen sind, um Daten im Lesesystem zu verschlüsseln, bevor sie in das Gerät kommen.

Der Council hat letztes Jahr eine Roadmap veröffentlicht, in der der Ansatz der Point-to-Point-Verschlüsselungstechnologie in der Datenumgebung des Karteninhabers vorgestellt wurde, und veröffentlichte vor kurzem die Anforderungen für die PCI Point-to-Point-Verschlüsselung Requirements, das erste Set an Validierungsanforderungen im P2PE-Programm. Die Ergebnisse der ersten Untersuchung über die Akzeptanz von mobilem Payment im Licht von PA-DSS wurden im Juni veröffentlicht. Der Council plant gegen Ende des Jahres in Kooperation mit Branchen-experten in einer von SSC geführten Mobile Taskforce weitere Orientierungshilfen bereitzustellen. (PCI Security Standards Council: ra)