Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)
Als Level-1-Dienstanbieter sind die F5 Distributed Cloud Services PCI-DSS-konform
Der Payment Card Industry Data Security Standard (PCI DSS) fördert und verbessert die Datensicherheit von Zahlungskartenkonten und erleichtert die weltweite Einführung einheitlicher Datensicherheitsmaßnahmen. PCI DSS bietet eine Grundlage technischer und betrieblicher Anforderungen zum Schutz von Kontodaten. PCI DSS wurde zwar speziell für Umgebungen mit Zahlungskartenkontodaten entwickelt, kann aber auch zum Schutz vor Bedrohungen und zur Sicherung anderer Elemente im Zahlungsökosystem verwendet werden.
PCI DSS richtet sich an alle Unternehmen, die Karteninhaberdaten (CHD) und/oder vertrauliche Authentifizierungsdaten (SAD) speichern, verarbeiten oder übertragen oder die Sicherheit der Karteninhaberdatenumgebung (CDE) beeinträchtigen könnten. Hierzu zählen alle an der Abwicklung von Zahlungskartenkonten beteiligten Stellen, darunter Händler, Verarbeiter, Acquirer, Emittenten und sonstige Dienstanbieter.
Durch die Einhaltung des PCI DSS wird außerdem sichergestellt, dass Unternehmen bei der Verarbeitung, Speicherung und Übermittlung von Kreditkartendaten die bewährten Vorgehensweisen der Branche einhalten. Die PCI DSS-Konformität wiederum fördert das Vertrauen bei Kunden und Stakeholdern.
PCI DSS umfasst einen Mindestsatz an Anforderungen zum Schutz von Kontodaten und kann durch zusätzliche Kontrollen und Verfahren erweitert werden, um Risiken weiter zu mindern. In der folgenden Tabelle sind die PCI-DSS-Anforderungen auf hoher Ebene aufgeführt. F5 gilt als Dienstanbieter der Stufe 1 und verarbeitet, speichert oder überträgt zwar keine CHD/SAD, könnte aber die Sicherheit der Karteninhaberdatenumgebung (CDE) unserer Kunden beeinträchtigen.
Anwendbare Produkte: F5 Distributed Cloud, Bot Defense und Silverline
| PCI DSS-Sicherheitsstandard – Allgemeine Übersicht |
|
|
|||
|---|---|---|---|---|---|
| Aufbau und Wartung sicherer Netzwerke und Systeme | 1. Installieren und warten Sie Netzwerksicherheitskontrollen 2. Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an. |
||||
Kontodaten schützen |
3. Schützen Sie gespeicherte Kontodaten. 4. Schützen Sie Karteninhaberdaten während der Übertragung über offene, öffentliche Netzwerke mit starker Kryptografie. |
||||
| Pflegen Sie ein Programm zur Schwachstellenverwaltung | 5. Schützen Sie alle Systeme und Netzwerke vor Schadsoftware. 6. Entwickeln und warten Sie sichere Systeme und Software. |
||||
| Implementieren Sie strenge Zugriffskontrollmaßnahmen | 7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten auf geschäftliche Informationspflichten. 8. Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten. 9. Beschränken Sie den physischen Zugriff auf die Daten des Karteninhabers. |
||||
| Netzwerke regelmäßig überwachen und testen | 10. Protokollieren und überwachen Sie sämtliche Zugriffe auf Systemkomponenten und Karteninhaberdaten. 11. Testen Sie die Sicherheit von Systemen und Netzwerken regelmäßig. |
||||
| Pflegen Sie eine Informationssicherheitsrichtlinie | 12. Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen.
|
||||
Quelle: Datensicherheitsstandard der Kreditkartenbranche: Anforderungen und Testverfahren, v4.0
Häufig gestellte Fragen
Welche personenbezogenen Daten verarbeitet F5 seiner Kunden?
Bei vielen Diensten fungiert F5 als „Verarbeiter“ (nicht als Verantwortlicher) der personenbezogenen Daten, die zur Bereitstellung eines Dienstes erforderlich sind. Einzelheiten zu den personenbezogenen Daten, die F5 verarbeitet, finden Sie in den Datenschutzbestimmungen der einzelnen Dienste. Alle dienstspezifischen Links zur Datenschutzrichtlinie von F5 finden Sie unter https://www.f5.com/company/policies/privacy-notice .
Welche besonderen Sicherheitsmaßnahmen ergreift F5 für personenbezogene Daten?
Für F5 und seine Dienste steht der Schutz personenbezogener Daten an erster Stelle und die Einhaltung höchster Datenschutzstandards. Die technischen und organisatorischen Kontrollen zum Schutz der von F5 erfassten personenbezogenen Daten sind in den jeweiligen Serviceverträgen (z. B. den servicespezifischen Bedingungen, die für im Rahmen unserer Endbenutzer-Servicevereinbarung bereitgestellte Dienste gelten) und im SOC2-Typ-II-Bericht von F5 aufgeführt. F5 Global Support ist ISO 27001-zertifiziert und F5 Distributed Cloud Services sind ISO 27001-zertifiziert mit einer Erweiterung von ISO 27017 und ISO 27018. Als Level-1-Dienstanbieter für die F5 Distributed Cloud Services ist F5 außerdem PCI-DSS-konform. Für bestimmte F5-Dienste und F5-Hardware gelten zusätzliche Sicherheitszertifizierungen. Ausführlichere Informationen zu unseren Datenschutzpraktiken finden Sie unter https://www.f5.com/company/policies/privacy-notice .
