Wie sich die neuen Anforderungen zu PCI Level 2 von MasterCard einhalten lassen

Mastercard verpflichtet Händler zur jährlichen Abgabe einer Compliance-Bewertung nach dem Payment Card Industry Data Security Standard (PCI) Level 2.

Ich habe eine Frage zu Selbsteinschätzungen nach PCI Level 2: Verlangt MasterCard nicht, dass die PCI-Selbsteinschätzung für einen Level-2-Händler von einem ISA übernommen wird? Falls ja, wie gehen wir damit um?

Sie haben Recht in Bezug auf diese Anforderung von MasterCard. Seit Juli 2012 bietet das Unternehmen zwei Optionen für Händler nach PCI Level 2, wenn sie ihre jährlichen Compliance-Bewertungen abgeben.

Als erste Option können Level-2-Händler für ihre jährliche Einschätzung einen Qualified Security Assessor (QSA) beauftragen. Dieser schreibt einen Report zur Compliance (ROC), wie es auch bei Level-1-Händlern gemacht würde, und gibt ihn an die Bank der Organisation weiter. Diese Option ist interessant für Händler, die an der Grenze zu Level 1 stehen und einen ROC in die Hand bekommen wollen. Ebenfalls passen kann sie für Händler, die keinen Internal Security Assessor (ISA) in ihrer Belegschaft haben und auch nicht in die dafür nötige Schulung investieren wollen. Natürlich kann es aber sehr teuer sein, stattdessen einen externen QSA zu beschäftigen.

Die zweite Option für Level-2-Händler besteht wie zuvor darin, die Einschätzungen selbst vorzunehmen. Wie Sie aber richtig anmerken, gab es hier eine Änderung: Wer diese Selbsteinschätzungen durchführt, muss (online oder persönlich) am ISA-Schulungsprogramm des PCI Security Standard Council teilgenommen haben. Es kostet 1495 US-Dollar für Mitglieder von PCI DSS und 2595 Dollar für Nicht-Mitglieder. Aktuelle ISAs müssen jährlich einen Online-Auffrischungskurs für 995 Dollar durchlaufen.

Quintessenz: Von MasterCard als Level 2 eingestufte Händler müssen jetzt eine weitere Hürde nehmen. Am schnellsten schaffen Sie das, wenn Sie die Zähne zusammenbeißen, ein paar tausend Dollar locker machen und ein Mitglied Ihres Teams zur ISA-Schulung schicken.

Erfahren Sie mehr über Datenschutz und Compliance

ComputerWeekly.de
Close