PCI Card Production

Physische und logische Sicherheitsaudits bei Kartenherstellern

Im Jahr Mai 2013 hat das PCI SSC die PCI Card Production Security Requirements für Kartenhersteller und Personalisierer veröffentlicht. Die Pflege der Anforderungen an Kartenhersteller und Personalisierer wurde somit unter das Dach des PCI SSC gehoben. Auch die Weiterentwicklung der Dokumente obliegt somit dem PCI SSC.
Über die Interpretation der Standards und die Anerkennung von Kartenherstellern und Personalisierern entscheiden die Zahlungssysteme (z.B. MasterCard) jedoch nach wie vor selbstständig. Hierfür unterhalten die Zahlungssysteme ihre jeweiligen Compliance Programme.

An Kartenhersteller und Personalisierer werden neben den hohen baulichen und organisatorischen Sicherheitsanforderungen ("Physical Security Requirements") auch Sicherheitsanforderungen an die Datenverarbeitung und -speicherung gestellt:
Durch so genannte Logical Security Audits weisen die Kartenhersteller z. B. gegenüber MasterCard nach, dass sie ein Sicherheitsmanagementsystem betreiben, welches alle IT-relevanten Aspekte zuverlässig regelt.