PCI-DSS Standard steht für „Payment Card Industry Data Security Standard”. Der PCI Standard entspricht einem Regelwerk, das die Sicherheitsanforderungen an den Zahlungsverkehr mit Kreditkarten abbildet. Dieser Standard ist für alle Firmen, Einrichtungen und Organisationen bindend, die Kreditkarteninhaber-Daten verarbeiten.
Unternehmen und Organisationen, die Kreditkarteninhaber-Daten (CHD – „Cardholder Data“) elektronisch auf einer Kreditkarteninhaber-Umgebung (CDE –„Cardholder Environment“) verarbeiten, müssen diese Umgebung entsprechend der PCI-Richtlinien vor Datenmissbrauch und unberechtigtem Zugriff absichern und deren fortlaufenden Betrieb schützen. Des Weiteren sieht der Standard eine eindeutige Verantwortlichkeitszuordnung für die unterschiedlichen Bereiche und Aufgaben innerhalb der CDE vor. Sämtliche Zugriffe und Arbeitsschritte müssen nachverfolgt werden können. Ein wichtiger Teil beim Betrieb einer solchen Umgebung sind die physikalische Sicherheit und die damit verbundenen Prozesse, um diese im Rechenzentrumsbetrieb zu gewährleisten.
Diese Anforderungen decken 12 Bereiche ab:
- Firewall-Konzept
- Sicherheitseinstellungen für Passwörter
- Schutz der Daten von Kreditkarteninhabern
- Verschlüsselung von Daten
- Virenschutz
- Pflege der Systeme und Anwendungen
- Einschränkungen von Zugriffen
- Benutzerbezogene Zugangskontrolle
- Beschränkung und Sicherheit vom physikalischen Zugang zum Server
- Protokollierung der Zugriffe auf Daten
- Regelmäßige Überprüfung der Systeme
- Einhaltung von Richtlinien der Informationssicherheit
Die Nachvollziehbarkeit von Zutritt und Zugang zur Umgebung wird durch professionelle Zutrittskontrollen und Abläufe, durch eine nahtlose Videoüberwachung rund um die Uhr und durch die Protokollierung und eindeutige Zuordnung der sich im Rechenzentrum befindenden Personen und dem Datenabgleich und dessen Plausibilitätsprüfung sichergestellt.
Als Colocation-Kunde in unserem Rechenzentrum profitieren Sie von einer bereits von einem qualifizierten Auditor („QSA“) nach PCI-zertifizierten Dienstleistung, die bis zum eigenen Rack reicht. Somit können Sie sich auf die Compliance Ihrer im Rack betriebenen Infrastruktur konzentrieren und die physikalische Sicherheit Ihres Racks (wesentliche Bestandteile der Anforderungen 9 und 12 des PCI-Anforderungskataloges sowie Anforderung 11.1 bzgl. drahtlose Zugangspunkte) durch unsere Zertifizierung attestieren. Diese Punkte fallen für Ihr eigenes Audit weg, da Sie Ihre Zertifizierung auf der zertifizierten PCI Compliance des Rechenzentrumbetreibers aufbauen.
E-Commerce-Anbieter, Content Provider, Einrichtungen und Organisationen unterschiedlicher Art, die im Netz per Kreditkarte Leistungen oder Produkte anbieten oder Spenden annehmen, haben somit die Möglichkeit dies in einer PCI-zertifizierten Rechenzentrumsumgebung in einem eigenen, individuell verschließbaren 19“ Rack (mit 21 oder 42 Höheneinheiten) umzusetzen. Gern stellen wir Ihnen zu diesem Zweck unsere Attestation of Compliance („AOC“) zur Verfügung.