Das Scannen zum Aufdecken von Schwachstellen muss mindestens alle drei Monate und nach einer deutlichen Veränderung stattfinden. Was ist in PCI DSS mit „deutlicher Veränderung“ gemeint?

Wesentliche Änderung des PCI DSS

Die Definition einer wesentlichen Änderung hängt stark von der Konfiguration Ihrer Umgebung ab.

Die nachfolgenden Aktivitäten werden jedoch vom PCI Council als „wesentliche Änderung“ betrachtet:

• Neue Hardware, Software oder Netzwerkausrüstung, die der Umgebung für Karteninhaberdaten (Cardholder Data Environment, CDE) hinzugefügt wurde.
• Jeglicher Ersatz oder größere Upgrades von Hard- und Software in der CDE.
• Alle Änderungen im Fluss oder der Speicherung von Kontodaten.
• Jegliche Änderungen an den Grenzen der CDE und/oder am Umfang der PCI-DSS-Bewertung.
• Alle Änderungen an der zugrunde liegenden Infrastruktur der CDE (einschließlich, aber nicht beschränkt auf, Änderungen an Verzeichnisdiensten, Zeitservern, Protokollierung und Überwachung).
• Alle Änderungen bei Drittanbietern/Dienstleistern (oder erbrachten Dienstleistungen), welche die CDE unterstützen oder die PCI-DSS-Anforderungen im Namen des Unternehmens erfüllen.

Jede dieser Aktivitäten hat zumindest potenzielle Auswirkungen auf die Sicherheit der Karteninhaberdaten-Umgebung (Cardholder Data Environment, CDE) eines Unternehmens und muss berücksichtigt und bewertet werden, um festzustellen, ob eine Änderung für das Unternehmen und im Zusammenhang mit den entsprechenden PCI-DSS-Anforderungen erheblich ist.