DE Glossary

Akronym für „Erweiterter Verschlüsselungsstandard.” Siehe Starke Kryptographie.

Prozesse und Prozeduren, um Änderungen an Systemen und Software auf Auswirkungen vor der Implementierung zu überprüfen, zu testen und zu genehmigen.

Akronym für „American National Standards Institute.”

Umfasst alle gekauften, kundenspezifischen und maßgeschneiderten Softwareprogramme oder Programmgruppen, einschließlich sowohl interner als auch externer (zum Beispiel Web-)Anwendungen.

Akronym für „Einhaltungsbescheinigung“. Die AOC ist das offizielle PCI SSC-Formular für Händler und Dienstleistungsanbieter, um die Ergebnisse einer PCI DSS-Bewertung zu bescheinigen, wie sie in einem Selbstbewertungsfragebogen (SAQ) oder Einhaltungsbericht (ROC) dokumentiert sind.

Akronym für „Zugelassenem Scanning-Anbieter.” Vom PCI SSC zugelassenes Unternehmen zur Ausführung externer Schwachstellen-Scanning-Dienstleistungen.

Beispiele für ausstellende Dienstleistungen umfassen und Autorisierung und Kartenpersonalisierung, sind aber nicht darauf beschränkt.

Prozess zur Verifizierung der Identität einer Person, eines Geräts oder eines Prozesses. Die Authentifizierung erfolgt typischerweise mit einem oder mehreren Authentifizierungsfaktoren. Siehe Konto, Authentifizierungs-Anmeldeinformationen, und Authentifizierungsfaktor.

Kombination aus der Benutzer-ID oder Konto-ID plus dem/den Authentifizierungsfaktor(en), der/die zum Authentifizieren einer Person, eines Geräts oder eines Prozesses verwendet wird/werden. Siehe Konto und Authentifizierungsfaktor.

Das Element, das verwendet wird, um die Identität einer Person oder eines Prozesses auf einem Computersystem nachzuweisen oder zu verifizieren. Authentifizierung erfolgt typischerweise mit einem oder mehreren Authentifizierungsfaktoren:

• Eine Information wie ein Passwort oder eine Passphrase,
• Ein Besitz wie ein Token-Gerät oder eine Smartcard,
• Etwas Persönliches, wie ein biometrisches Element.

Die ID (oder Konto) und Authentifizierungsfaktor werden zusammen als Authentifizierungsnachweise betrachtet. Siehe Konto und Authentifizierungs-Anmeldeinformationen.

Ein Verkäufer, ein Gast eines Mitarbeiters, ein Dienstleistungsmitarbeiter oder ein Mitarbeiter, der normalerweise keinen Zugang zu dem betreffenden Bereich hat. Karteninhaber, die sich in einem Einzelhandelsgeschäft aufhalten, um Waren oder Dienstleistungen zu kaufen, gelten nicht als "Besucher". Siehe Karteninhaber und Personal.

Akronym für „Beirat.“

Akronym für „Karteninhaberdatenumgebung.“ Die CDE besteht aus:

• Die Systemkomponenten, Personen und Prozesse, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten und übertragen, und
• Systemkomponenten, die keine CHD/SAD speichern, verarbeiten oder übertragen dürfen, aber uneingeschränkt mit Systemkomponenten verbunden sind, die CHD/SAD speichern, verarbeiten oder übertragen.

Akronym für „Gemeinsames Bewertungssystem für Schwachstellen“. Weitere Informationen finden Sie im ASV-Programmleitfaden.

Siehe „PCI DSS-Abschnitt: 8 Ansätze zur Implementierung und Validierung von PCI DSS.

Geschäftsentität, die keine Zahlungsmarke ist und direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten (CHD) und/oder sensiblen Authentifizierungsdaten (SAD) im Auftrag einer anderen Entität beteiligt ist. Dieses umfasst Zahlungs-Gateways, Zahlungs-Dienstleistungsanbieter (PSPs) und unabhängige Vertriebsorganisationen (ISOs). Dies umfasst auch Unternehmen, die Dienstleistungen anbieten, die die Sicherheit von CHD und/oder SAD kontrollieren oder sich auf sie auswirken könnten. Beispiele umfassen verwaltete Dienstleistungsanbieter, die verwaltete Firewalls, IDS und andere Dienstleistungen bereitstellen, sowie Hosting-Anbieter und andere Entitäten. Wenn eine Entität eine Dienstleistung bereitstellt, die nur die Bereitstellung eines öffentlichen Netzwerkzugriffs einbezieht – wie ein Telekommunikationsunternehmen, das nur die Kommunikationsverbindung bereitstellt –, würde die Entität nicht als Dienstleistungsanbieter für diese Dienstleistung betrachtet (obwohl sie als Dienstleistungsanbieter für andere Dienstleistungen angesehen werden kann). Siehe Multi-Mandantenanbieter und Dritter Dienstleistungsanbieter.

Drei- oder vierstelliger Wert im Magnetstreifen, der auf das Ablaufdatum der Zahlungskarte auf den Verfolgungsdaten folgt. Es wird für verschiedene Dinge verwendet, wie zum Definieren von Dienstleistungsattributen, zum Unterscheiden zwischen internationalem und nationalem Austausch oder zum Identifizieren von Nutzungsbeschränkungen.

Prozess der Verwendung von zwei oder mehr separaten Entitäten (normalerweise Personen), die zusammenarbeiten, um sensible Funktionen oder Informationen zu schützen. Beide Einheiten sind gleichermaßen für den physischen Schutz von Materialien verantwortlich, die an anfälligen Transaktionen beteiligt sind. Es ist keiner einzelnen Person gestattet, auf die Materialien (zum Beispiel den kryptografischen Schlüssel) zuzugreifen oder diese zu verwenden. Für die manuelle Schlüsselerzeugung, -beförderung, -ladung, -speicherung und -wiedergewinnung erfordert doppelte Kontrolle die Aufteilung der Kenntnis des Schlüssels unter den Entitäten. Siehe Gespaltenes Wissen.

Akronym für „Gesetz über die digitale Betriebsstabilität.“

Jeder Dritte, der als Dienstleistungsanbieter im Namen einer Entität handelt. Siehe Multi-Mandantenanbieter und Dienstleistungsanbieter.

Ein Server, der einen Kundenbrowser von der Website eines Händlers an einen anderen Ort zur Zahlungsabwicklung während einer E-Commerce-Transaktion umleitet.

Akronym für „Elliptische-Kurven-Kryptographie." Siehe Starke Kryptographie.

Technik oder Technologie (entweder Software oder Hardware) zum Verschlüsseln aller gespeicherten Daten auf einem Gerät (zum Beispiel einer Festplatte oder einem Flash-Laufwerk). Alternativ wird Verschlüsselung auf Dateiebene oder Datenbankverschlüsselung auf Spaltenebene verwendet, um Inhalte bestimmter Dateien oder Spalten zu verschlüsseln.

Akronym für „Global Executive Assessor Roundtable.”

Die Schlüsselgenerierung ist eine der Funktionen innerhalb der Schlüsselverwaltung. Die folgenden Dokumente stellen anerkannte Anleitungen zur ordnungsgemäßen Schlüsselgenerierung bereit:

• NIST Special Publication 800-133: Empfehlung für die Generierung kryptografischer Schlüssel
• ISO 11568-2 Finanzdienstleistungen – Schlüsselverwaltung (Einzelhandel) — Teil 2: Symmetrische Chiffren, ihre Schlüsselverwaltung und ihr Lebenszyklus
  • 4.3 Schlüsselgenerierung
• ISO 11568-4 Finanzdienstleistungen – Schlüsselverwaltung (Einzelhandel) — Teil 4: Asymmetrische Kryptosysteme – Schlüsselverwaltung und Lebenszyklus
  • 6.2 Schlüssel-Lebenszyklusphasen - Generierung
• European Payments Council EPC 342-08 Richtlinien zur Verwendung von Algorithmen und zur Schlüsselverwaltung
  • 6.1.1 Schlüsselgenerierung [für symmetrische Algorithmen]
  • 6.2.1 Schlüsselgenerierung [für asymmetrische Algorithmen].

Eine rechtliche Einschränkung aufgrund eines lokalen oder regionalen Gesetzes, einer Verordnung oder einer behördlichen Vorschrift, wenn die Erfüllung einer PCI DSS-Anforderung gegen dieses Gesetz, diese Verordnung oder diese behördliche Vorschrift verstoßen würde. Vertragliche Verpflichtungen oder Rechtsberatung sind keine rechtlichen Beschränkungen. Informationen zur Meldung von rechtlichen Ausnahmen finden Sie in den folgenden PCI DSS v4.x-Dokumenten:

• Die Vorlage für den Einhaltungsbericht (ROC) und die zugehörigen Konformitätsbescheinigungen.
• Die Fragebogen zur Selbsteinschätzung (SAQs) und die zugehörigen Konformitätsbescheinigungen.

Hinweis: Wenn ein Unternehmen an mehreren Standorten tätig ist, kann eine rechtliche Ausnahme nur für die Standorte geltend gemacht werden, für die das Gesetz, die Verordnung oder die regulatorische Anforderung gilt, und nicht für Standorte, an denen das Gesetz, die Verordnung oder die regulatorische Anforderung nicht anwendbar ist.

Für die Zwecke des PCI DSS wird ein Händler als jede Entität definiert, die Zahlungskarten mit den Logos einer am PCI SSC teilnehmenden Zahlungsmarke als Zahlung für Waren und/oder Dienstleistungen akzeptiert. Ein Händler, der Zahlungskarten als Zahlungsmittel für Waren und/oder Dienstleistungen akzeptiert, kann auch ein Dienstleistungsanbieter sein, wenn die verkauften Dienstleistungen dazu führen, dass Karteninhaberdaten im Auftrag anderer Händler oder Dienstleistungsanbieter gespeichert, verarbeitet oder übertragen werden. Zum Beispiel ist ein ISP ein Händler, der Zahlungskarten für die monatliche Abrechnung akzeptiert, aber auch ein Dienstleistungsanbieter, wenn er Händler als Kunden hostet.

• Es ist rechnerisch nicht möglich, die ursprüngliche Eingabe nur anhand des Hash-Codes zu bestimmen.
• Es ist rechnerisch nicht möglich, zwei Eingaben zu finden, die denselben Hash-Code angeben.

Akronym für „Interner Sicherheitsgutachter.“

Ein physisches Gerät, das häufig an ein legitimes Kartenlesegerät angeschlossen ist und dazu dient, die Informationen einer Zahlungskarte unrechtmäßig zu erfassen und/oder zu speichern.

Kunde, für den eine Zahlungskarte ausgestellt wurde, oder jede Person, die zur Verwendung der Zahlungskarte autorisiert ist. Siehe Besucher.

Wird auch als Kartenvalidierungscode oder -wert oder Kartensicherheitscode bezeichnet. Für PCI-DSS-Zwecke ist er der drei- oder vierstellige Wert, der auf der Vorder- oder Rückseite einer Zahlungskarte aufgedruckt ist. Kann entsprechend den individuellen teilnehmenden Zahlungsmarken als CAV2, CVC2, CVN2, CVV2 oder CID bezeichnet werden. Wenden Sie sich für weitere Informationen an die teilnehmenden Zahlungsmarken.

Akronym für „Schlüsselmanagementprozesse.“

Direkt angeschlossener Bildschirm und/oder Tastatur, die den Zugriff auf und die Kontrolle eines Servers, MainframeComputers oder eines anderen Systemtyps erlaubt. Siehe Zugriff ohne Konsole.

Wird auch als "Benutzer-ID", "Konto-ID" oder "Anwendungs-ID" bezeichnet. Wird verwendet, um eine Person oder einen Prozess auf einem Computersystem zu identifizieren. Siehe Authentifizierungs-Anmeldeinformationen und Authentifizierungsfaktor.

Ein Parameter, der in Verbindung mit einem kryptografischen Algorithmus verwendet wird, der für Betriebe wie die folgenden verwendet wird:

• Umwandlung von Klartextdaten in Chiffretextdaten,
• Umwandlung von Chiffretextdaten in Klartextdaten,
• Eine aus Daten berechnete digitale Unterschrift,
• Verifizierung einer aus Daten berechneten digitalen Unterschrift,
• Ein aus Daten berechneter Authentifizierungscode, oder
• Eine Vereinbarung zum Austausch eines gemeinsamen Geheimnisses.

Siehe Starke Kryptographie.

Auch als „Verschlüsselungsalgorithmus“ bezeichnet. Ein klar spezifizierter umkehrbarer mathematischer Prozess, der zum Umwandeln von Klartextdaten in verschlüsselte Daten und umgekehrt verwendet wird. Siehe Starke Kryptographie.

Die Zeitspanne, in der ein kryptografischer Schlüssel für seinen definierten Zweck verwendet werden kann. Wird häufig in Bezug auf den Zeitraum definiert, für den der Schlüssel aktiv ist, und/oder die Menge an Chiffretext, die vom Schlüssel erzeugt wurde, und gemäß bewährten Praktiken und Richtlinien der Branche (zum Beispiel NIST Special Publication 800- 57).

Siehe „PCI DSS-Abschnitt: 8Ansätze zur Implementierung und Validierung von PCI DSS“.

Mechanismen, die die Verfügbarkeit von Informationen oder informationsverarbeitenden Ressourcen nur auf autorisierte Personen oder Anwendungen beschränken. Siehe Physische Zugriffskontrolle.

In Kryptografie, ein Akronym für „Authentifizierungscode der Nachricht“. Siehe Starke Kryptographie.

Siehe Nachverfolgungsdaten.

Maßgeschneiderte Software wird für die Entität von einem Dritten im Namen der Entität und gemäß den Spezifikationen der Entität entwickelt. Kundenspezifische Software wird von der Entität für den eigenen Gebrauch entwickelt.

Akronym für „Versandbestellung/Telefonbestellung.“

Akronym für „Mobile Zahlungen auf COTS.”

Eine Art von dritten Dienstleistungsanbietern, die verschiedene geteilte Dienstleistungen an Händler und andere Dienstleistungsanbieter anbietet, bei denen Kunden Systemressourcen gemeinsam nutzen (wie physische oder virtuelle Server), Infrastruktur, Anwendungen (einschließlich Software als eine Dienstleistung (SaaS)) und/oder DatenbankenDienstleistungen können Hosten von mehreren Entitäten auf einem einzigen geteilten Server, Bereitstellen von E-Commerce und/oder „Warenkorb“-Dienstleistungen, web-basierte Host-Dienstleistungen, Zahlungsanwendungen, verschiedene Cloudanwendungen und Dienstleistungen, und Verbindung zu Zahlungs-gateways und –prozessoren einschließen, sind aber nicht darauf beschränkt. Siehe Dienstleistungsanbieter und Dritte Dienstleistungsanbieter.

Ein Diagramm, das Systemkomponenten und Verbindungen innerhalb einer vernetzten Umgebung zeigt.

Akronym für „Offenes Weltweit-Sicherheitsprojekt.”

Akronym für „Punkt-zu-Punkt-Verschlüsselung.“

Vollzeit- und Teilzeitbeschäftigte, Zeitarbeitskräfte, Auftragnehmer und Berater mit Sicherheitsverantwortungen für den Schutz von Kontodaten oder die sich auf die Sicherheit von Karteninhaberdaten und/oder sensiblen Authentifizierungsdaten auswirken können. Siehe Besucher.

Authentifizierung, die die Offenlegung und Verwendung von Authentifizierungsgeheimnissen gegenüber einer Partei verhindern soll, die nicht das legitime System ist, bei dem sich der Benutzer zu authentifizieren versucht (z. B. durch In-theMiddle- (ITM) oder Impersonation-Angriffe). Phishing-resistente Systeme setzen häufig asymmetrische Kryptografie als zentrale Sicherheitskontrolle ein. Systeme, die ausschließlich auf wissensbasierten oder zeitlich begrenzten Faktoren wie Passwörtern oder EinmalPasswörtern (OTPs) beruhen, gelten nicht als phishing-resistent, ebenso wenig wie SMS oder magische Links. Beispiele für eine phishing-resistente Authentifizierung sind FIDO2.

Mechanismen, die den Zugriff auf einen physischen Raum oder eine Umgebung nur Mechanismen, die den Zugang zu einem physischen Raum oder einer Umgebung nur auf autorisierte Personen beschränken. Siehe Logische Zugriffskontrolle.

Akronym für „Hauptteilnehmende Organisation.“

Siehe Audit-Protokoll.

Akronym für „Qualifizierter Integrator oder Wiederverkäufer.“ Siehe das QIR Program Guide auf der PCI SSC-Website für mehr Informationen.

Akronym für „Qualifizierter PIN-Gutachter.“

Akronym für „Qualifizierter Sicherheitsbewerter.“ QSA-Unternehmen sind von PCI SSC PCI SSC qualifiziert, um die Einhaltung der PCI DSS-Anforderungen durch eine Entität vor Ort zu validieren. Siehe dazu die QSA Qualifizierungsanforderungen über Details zu den Anforderungen für QSA-Unternehmen und -Mitarbeiter.

Akronym für „Regionales Engagement-Gremium.”

Akronym für „Bitte um Kommentar.“

Unternehmensweiter Prozess, der wertvolle Systemressourcen und Bedrohungen identifiziert; quantifiziert Verlustexpositionen (d. h. das Verlustpotenzial) basierend auf geschätzten Häufigkeiten und Kosten des Auftretens; und empfiehlt (optional), wie Ressourcen für Gegenmaßnahmen zugeordnet werden, um die Gesamtexposition zu minimieren. Siehe Gezielte Risikoanalyse.

Akronym für „Bericht zur Einhaltung.“ Berichtstool zur Dokumentation detaillierter Ergebnisse der PCI DSS-Bewertung einer Entität.

Akronym für „Roadmap Roundtable-Gruppe.”

Algorithmus zur Öffentlicher Schlüssel-Verschlüsselung. Siehe Starke Kryptographie.

Prozess zur Identifizierung aller Systemkomponenten, Personen und Prozesse, die in eine PCI DSS-Bewertung einbezogen werden sollen. Siehe dem PCI DSS-Abschnitt: 4 Scope von PCI DSS-Anforderungen.

Wird auch als „Netzwerksegmentierung“ oder „Isolation“ bezeichnet. Segmentierung isoliert Systemkomponenten, die Karteninhaberdaten speichern, verarbeiten oder übertragen, von Systemen, die dies nicht tun. Siehe „Segmentierung“ in dem PCI DSS-Abschnitt: 4 Scope von PCI DSS-Anforderungen.

Sicherheitsbezogene Informationen, die verwendet werden, um Karteninhaber zu authentisieren und/oder Zahlungskartentransaktionen autorisieren. Diese Informationen umfassen, sind aber nicht beschränkt auf Verifizierungscodes für die Kartenvalidierung, vollständige Verfolgungsdaten (vom Magnetstreifen oder einem gleichwertigen Chip), PINs und PIN-Sperren.

Technik oder Technologie (entweder Software oder Hardware) zum Verschlüsseln des Inhalts einer bestimmten Spalte in einer Datenbank gegen den vollständigen Inhalt der gesamten Datenbank. Alternativ siehe Festplattenverschlüsselung und Verschlüsselung auf Dateiebene.

Kryptographie ist eine Methode zum Schutz von Daten durch einen umkehrbaren Verschlüsselungsprozess und ein grundlegendes Primitiv, das in vielen Sicherheitsprotokollen und -dienstleistungen verwendet wird. Starke Kryptografie basiert auf branchengetesteten und anerkannten Algorithmen zusammen mit Schlüssellängen, die mindestens 112 Bit effektive Schlüsselstärke und ordnungsgemäße Schlüsselverwaltungspraktiken bereitstellen. Die effektive Schlüsselstärke kann kürzer sein als die tatsächliche „Bit“-Länge des Schlüssels, was dazu führen kann, dass Algorithmen mit größeren Schlüsseln einen geringeren Schutz bieten als Algorithmen mit kleineren tatsächlichen, aber größeren effektiven Schlüsselgrößen. Es wird empfohlen, dass alle neuen Implementierungen eine effektive Schlüsselstärke von mindestens 128 Bit verwenden. Beispiele für Branchenreferenzen zu kryptografischen Algorithmen und Schlüssellängen umfassen:

• NIST Special Publication 800-57 Teil 1,
• BSI TR-02102-1,
• ECRYPT-CSA D5.4 Algorithms, Key Size and Protocols Report (2018), und
• ISO/IEC 18033- Encryption Algorithms, und
• ISO/IEC 14888-3:2-81 IT Security techniques – Digital signatures with appendix Teil 3: Discrete logarithm based mechanisms.

Akronym für „Technischer Beirat.“

Akronym für „Triple Data Encryption Standard.” Auch als „3DES“ oder „Triple DES“ bezeichnet.

Auch als "Zahlungsmarke" bezeichnet. Eine Zahlungskartenmarke, die zum fraglichen Zeitpunkt dann offiziell als (oder ein verbundenes Unternehmen von) Mitglied des PCI SSC gemäß seinen maßgeblichen Dokumenten zugelassen wird. Zum Zeitpunkt der Abfassung dieses Berichts gehören zu den teilnehmenden Zahlungsmarken PCI SSC-Gründungsmitglieder und strategische Mitglieder.

Abkürzung für „Telefon-Netzwerk-Protokoll.“

Akronym für „Technologie-Beratungsgruppe.”

Die Praxis, Schritte in einer Funktion auf mehrere Personen aufzuteilen, um zu verhindern, dass eine einzelne Person den Prozess untergräbt.

Eine Hashing-Funktion, die einen zufällig generierten geheimen Schlüssel enthält, um brutale Gewalt-Angriffs-Widerstand und die Integrität der geheimen Authentifizierung bereitzustellen. Geeignete verschlüsselte kryptografische Hashing-Algorithmen beinhalten, sind aber nicht beschränkt auf: HMAC, CMAC und GMAC mit einer effektiven kryptografischen Stärke von mindestens 128 Bit (NIST SP 800-131Ar2). Im Folgenden finden Sie weitere Informationen über HMAC, CMAC und GMAC: NIST SP 800-107r1, NIST SP 800-38B, und NIST SP 800-38D). Siehe NIST SP 800-107 (Revision 1): Empfehlung für Anwendungen, die zugelassene Hash-Algorithmen verwenden §5.3.

Die (umkehrbare) Umwandlung von Daten durch einen kryptografischen Algorithmus, um Chiffretext zu erzeugen, d. h. den Informationsinhalt der Daten zu verbergen. Siehe Starke Kryptographie.

Technik oder Technologie (entweder Software oder Hardware) zum Verschlüsseln des vollständigen Inhalts bestimmter Dateien. Alternativ siehe Festplattenverschlüsselung und Datenbankverschlüsselung auf Spaltenebene.

Siehe Kryptographischer Algorithmus.

Methoden, die von Händlern verwendet werden, um Zahlungen von Kunden zu akzeptieren. Übliche Zahlungskanäle schließen Karte vorhanden (bei der Person), und Karte nicht vorhanden (E-Commerce unde MO/TO) ein.

Für Zwecke des PCI DSS jeder Zahlungskarten-Formfaktor, der das Logo einer am PCI SSC teilnehmenden Zahlungsmarke trägt.

Eine Organisation mit gebrandeten Zahlungskarten oder anderen Formfaktoren für Zahlungskarten. Zahlungsmarken regeln, wo und wie die Zahlungskarten oder andere Formfaktoren, die ihre Marke oder ihr Logo tragen, verwendet werden. Eine Zahlungsmarke kann eine am PCI SSC teilnehmende Zahlungsmarke oder eine andere globale oder regionale Zahlungsmarke, ein System oder ein Netzwerk sein.

• Ein einzelnes Dokument oder eine Instanz,
• Ein Dokument oder eine Komponente, die in einem Inline-Rahmen innerhalb einer Nichtzahlungsseite angezeigt wird,

Manchmal auch als „Zahlungs-Gateway“ oder „Zahlungsdienstleistungsanbieter (PSP)“ bezeichnet. Entität, die von einem Händler oder einer anderen Entität beauftragt wurde, Zahlungskartentransaktionen in deren Namen abzuwickeln. Siehe Erwerber.

Logischer Zugriff auf eine Systemkomponente, der über eine Netzwerkschnittstelle statt über eine direkte, physische Verbindung zur Systemkomponente erfolgt. Der Zugriff ohne Konsole umfasst den Zugriff aus lokalen/internen Netzwerken sowie den Zugriff aus externen oder entfernten Netzwerken.