Das neue Forum nennt sich PCI Security Standards Council (PCI-SSC). Es wurde gemeinsam von American Express, Morgan Stanleys Discovery Financial Services, der japanischen JCB, Mastercard Worldwide und Visa International ins Leben gerufen.
Aufgabe des Councils soll es sein, die Einführung der Datenschutzrichtlinien der Payment Card Industry (PCI) zu überwachen, durch die Etablierung von technischen Standards zu vereinheitlichen und somit zu erleichtern. Dabei könnte auch eine Liste sämtlicher weltweit qualifizierten Dienstleister helfen, die der SSC über seine Web-Seite zugänglich machen will.
Außerdem soll sich das Gremium darum kümmern, den PCI-DSS (Data Security Standard) weiterzuentwickeln. Als seine erste Handlung hat der Rat die Version 1.1 des PCI-DSS angekündigt. Diese soll neue Bedrohungen berücksichtigen und empfiehlt, dass Händler und Anbieter Maßnahmen einleiten, um die Sicherheit auf Applikations- und Netzebene zu verbessern.
Der PCI Security Standards Council soll allen Betroffenen offen stehen: Händler, Anbieter von Bezahlterminals und Services sowie Finanzinstitute sind eingeladen, sich an dem "offenen und transparenten Forum" zu beteiligen und ihren Input zu liefern.
Gegenwärtig sind die großen Händler dabei, die im Juni 2005 festgelegten Sicherheitsvorgaben umzusetzen. Schätzungen zufolge erfüllen jedoch etwa drei Viertel aller Händler die Richtlinien noch nicht. Die PCI-Regeln schreiben das Vorhandensein einer Firewall und eines Viren-Scanners vor, außerdem verlangen sie die Verschlüsselung von Datenübertragungen in öffentlichen Netzen. Zusätzlich ist der Zugriff auf das Netz und die Daten der Kreditkarteninhaber regelmäßig zu testen und zu überwachen. Unternehmen, die Zahlungen verarbeiten, sollen außerdem gezwungen werden, Zwei-Faktor-Authentisierung einzuführen, um den Schutz des Netzes zu verbessern. (ave)