Verständnis von Standards mit Elinext-Experten: ISO 13485:2016, PCI DSS, PA DSS

Die Einhaltung von Vorschriften ist eine wichtige, aber komplexe Angelegenheit. Dies gilt insbesondere in Branchen mit strenger Überwachung der Einhaltung, wie dem Gesundheitswesen oder Finanzdienstleistungen. Schließlich ist die potenzielle Kosten für Nichteinhaltung erstaunlich hoch — 14,82 Millionen US-Dollar, laut der Studie des Ponemon Institute.

Mit diesem Artikel starten wir eine Serie von Interviews mit Fachleuten von Elinext, um die wichtigsten und am weitesten verbreiteten Standards zu besprechen. Unsere erste Expertin ist Alina Borovskaya, die uns durch die ISO 13485:2016, die PCI DSS und die PA DSS Standards führen wird.

Lassen Sie uns mit ISO 13485:2016 beginnen. Worum geht es bei diesem Standard?

Dies ist ein internationaler Branchenstandard, der von der Internationalen Organisation für Normung (ISO) entwickelt wurde. Der Standard legt die Anforderungen an ein Qualitätsmanagementsystem für Hersteller von Medizinprodukten fest.

Es sollte jedoch beachtet werden, dass es sich um einen freiwilligen Standard handelt, der die technischen Anforderungen für Medizinprodukte ergänzt.

Für wen ist ISO 13485:2016 gedacht?

Der Standard richtet sich an Organisationen, die in die Gestaltung, Entwicklung, Produktion, Installation und Wartung von Medizinprodukten sowie in die Erbringung von dazugehörigen Dienstleistungen involviert sind. Der Standard kann auch von externen und internen Parteien, einschließlich Zertifizierungsstellen, für den Auditprozess genutzt werden.

Welche Organisationen unterliegen der Zertifizierung nach ISO 13485:2016?

ISO 13485:2016 gilt für alle Organisationen, die in folgenden Bereichen tätig sind:

  • Installation und Wartung von Medizinprodukten;
  • Entwicklung von Softwarekomponenten für Medizinprodukte;
  • Entwicklung oder Bereitstellung von dazugehörigen Dienstleistungen (zum Beispiel technischer Support);

Der Standard kann auch von Lieferanten von Medizinprodukten oder externen Parteien genutzt werden, die in irgendeiner Kapazität in die Herstellung von Geräten involviert sind, einschließlich der Bereitstellung von dienstleistungsbezogenen Qualitätsmanagementsystemen durch solche Organisationen.

Grundsätzlich gilt der Standard für Organisationen, die in verschiedenen Phasen des Lebenszyklus eines Medizinprodukts tätig sind, einschließlich Design, Entwicklung, Produktion, Lagerung und Vertrieb.

Lassen Sie uns nun tiefer in die Anforderungen von ISO 13485:2016 eintauchen. Was decken sie ab?

 Grundsätzlich legt der Standard die Anforderungen in Bezug auf folgende Punkte fest:

  • Implementierung und praktische Anwendung eines Qualitätsmanagementsystems;
  • Entwicklung entsprechender Dokumentationen;
  • Maßnahmen zur Risikominimierung;
  • Verbesserung der Kompetenz des Personals;
  • Effektives Ressourcenmanagement;
  • Analytische Aktivitäten zur kontinuierlichen Qualitätsverbesserung.

Warum wurde ISO 13485:2016 überarbeitet und welche sind die Hauptänderungen?

Um sicherzustellen, dass er aktuell und nützlich für den Markt bleibt, wird ISO 13485:2016 alle 5 Jahre überprüft, um festzustellen, ob Änderungen erforderlich sind. Die Überarbeitung von ISO 13485:2016 berücksichtigt die neuesten Praktiken im Qualitätsmanagementsystem, Veränderungen in Technologie und regulatorischen Anforderungen sowie Verbrauchererwartungen.

Die neue Version legt einen größeren Fokus auf Risikomanagement und Entscheidungsfindung auf Grundlage von Risiken sowie Änderungen im Zusammenhang mit den gestiegenen regulatorischen Anforderungen für Organisationen in der Lieferkette.

Muss eine Organisation nach Abschluss der anfänglichen Zertifizierung regelmäßige Audits durchlaufen?

Da das ISO 13485:2016-Zertifikat für 3 Jahre ausgestellt wird, wird während des zweiten und dritten Jahres eine Überwachungsprüfung durchgeführt. Die jährlichen Überprüfungen zielen auf eine kontinuierliche Prozessoptimierung ab. Nach drei Jahren wird eine Rezertifizierungsprüfung durchgeführt. Die Erlangung der ISO 13485:2016-Zertifizierung ist der Nachweis für das langfristige Engagement einer Organisation für das Qualitätsmanagementsystem von Medizinprodukten.

Um den ersten Teil unseres Interviews abzuschließen, konzentrieren wir uns auf die wesentlichen Vorteile der ISO 13485:2016-Zertifizierung.

Sicher, die Vorteile einer ISO 13485:2016-Akkreditierung sind vielfältig. Zu den wichtigsten Vorteilen gehören:

  • Die Möglichkeit, ungehinderten Handel in 25 Ländern des Europäischen Wirtschaftsraums (EWR) sowie in der Türkei, Ägypten, Saudi-Arabien, Korea, Australien und Neuseeland zu betreiben.
  • Die Möglichkeit, Geschäftsprozesse in Übereinstimmung mit den strengen Anforderungen internationaler und europäischer Normen zu etablieren.
  • Steigerung des Umsatzvolumens, Verbesserung bestehender Marktpositionen und Erschließung neuer Märkte.
  • Erhalt eines Wettbewerbsvorteils bei der Konkurrenz um lukrative Verträge und Projekte, sofern die anderen Bedingungen gleich sind.
  • Verbesserung des Images einer Organisation durch den Nachweis der Einhaltung der Anforderungen internationaler Standards, bewährter Verfahren und Produktqualität sowie der Einhaltung der geltenden gesetzlichen und regulatorischen Anforderungen.
  • ISO 13485:2016 ist mit anderen internationalen Managementsystemstandards und Spezifikationen wie ISO 9001, GMP und anderen harmonisiert, was die Entwicklung eines effektiven Kontrollsystems ermöglicht.

Lassen Sie uns zu den anderen Standards auf der Agenda übergehen — Payment Card Industry Data Security Standard (PCI DSS) und Payment Application Data Security Standard (PA DSS). Und zunächst einmal, was ist PCI DSS?

Entwickelt vom Payment Card Industry Security Standards Council (PCI SSC) ist PCI DSS ein Datensicherheitsstandard in der Zahlungskartenbranche. Der Standard wurde von internationalen Zahlungssystemen wie Visa, MasterCard, American Express, JCB und Discover festgelegt.

PCI DSS stellt eine Reihe von 12 detaillierten Anforderungen dar, die darauf abzielen, die Sicherheit von Kartendaten von Karteninhabern zu gewährleisten, die in einem Unternehmen übertragen, gespeichert und verarbeitet werden. PCI DSS-Anforderungen sind für jedes Unternehmen verbindlich, das mit internationalen Zahlungssystemen arbeitet.

PCI DSS Anforderungen

Wer benötigt PCI DSS?

Die Notwendigkeit zur Einhaltung von PCI DSS wird von den Betreibern der Zahlungssysteme in ihren eigenen Sicherheitsprogrammen festgelegt. Diese Programme umfassen:

  • Für MasterCard ist es der Site Data Protection (SDP);
  • Für Visa in den USA ist es die Cardholder Information Security (CISP);
  • Für Visa in Europa ist es die Account Information Security (AIS).

Alle Organisationen, die Karteninhaberdaten speichern, übertragen oder verarbeiten, müssen den PCI DSS-Anforderungen entsprechen.

Der Standard wurde in der CEMEA-Region (Zentral- und Osteuropa, Naher Osten und Afrika) seit September 2006 verbindlich, wie von dem internationalen Zahlungssystem Visa festgelegt. Daher müssen Dienstleister (Internetanbieter, Zahlungsgateways und Verarbeitungszentren), die direkt mit VisaNet arbeiten, eine Prüfung durchlaufen, um die Anforderungen des Standards zu erfüllen.

Wie sieht der Prüfungszyklus aus?

Die Prüfung wird jährlich durchgeführt. Darüber hinaus werden zweimal im Jahr Penetrationstests (von internen und externen Angreifern) durchgeführt und vierteljährlich ASV-Scans (von zugelassenen Scanning-Anbietern) durchgeführt.

Wie beeinflusst dieser Standard Softwareentwicklungsunternehmen?

Hier möchte ich gerne näher auf den PA DSS eingehen — den Payment Application Data Security Standard, der auf den Anforderungen der „Payment Application Best Practices“ (PABP) von Visa basiert. Der Standard soll die Umsetzung der Anforderungen von PCI DSS erzwingen.

PA DSS wurde 2008 vom Payment Card Industry Security Standards Council (PCI SSC) erstellt und akzeptiert. Die Zahlungssysteme Visa und MasterCard verlangen, dass alle Anwendungen, die an Autorisierungs- oder Clearing-/Abwicklungstransaktionen beteiligt sind, gemäß PA DSS zertifiziert sein müssen.

Was ist die Verbindung zwischen PCI DSS und PA DSS?

Alle Anwendungen, die Kartendaten speichern, verarbeiten oder übertragen, müssen hinsichtlich ihrer Konformität mit PCI DSS überprüft werden, selbst wenn sie bereits hinsichtlich ihrer Konformität mit PA DSS geprüft wurden.

Die Verwendung einer PA DSS-konformen Anwendung garantiert nicht automatisch, dass eine Organisation die Anforderungen von PCI DSS erfüllt. Dies liegt daran, dass die Anwendung in einer PCI DSS-konformen Umgebung implementiert werden muss und den „Richtlinien zur Umsetzung in Übereinstimmung mit PA DSS“ (bereitgestellt vom Zahlungsanwendungsentwickler) folgen muss.

Die Modifikation einer Zahlungsanwendung in irgendeiner Weise kann ihren PCI DSS-Compliance-Status beeinflussen, da er sich von der für PA DSS-Konformität geprüften Version unterscheiden kann. Daher ist eine detailliertere Prüfung erforderlich, um festzustellen, ob die Anwendung weiterhin die Anforderungen von PCI DSS erfüllt.

PCI DSS gilt nicht direkt für Zahlungsanbieter, wenn sie keine Kartendaten speichern, verarbeiten oder übertragen oder keinen Zugriff auf Kartendaten ihrer Kunden haben.

Da jedoch die Kunden eines Zahlungsanbieters diese Anwendungen verwenden, um Kartendaten zu speichern, zu verarbeiten und zu übertragen, sind die Kunden zur Einhaltung des Standards verpflichtet. Zahlungsanwendungen müssen ihrerseits die Kunden bei der Erfüllung der PCI DSS-Anforderungen unterstützen und nicht behindern.

Werfen wir einen Blick auf einige Beispiele, wann unsichere Zahlungsanwendungen dazu führen können, die Konformität mit dem Standard nicht zu erreichen:

  1. Speichern von Daten aus dem Magnetstreifen und/oder gleichwertig sensiblen Chip-Informationen im Netzwerk des Kunden nach der Autorisierung;
  2. Anwendungen, die den Kunden auffordern, verschiedene von PCI DSS regulierte Funktionen auszuschalten, wie z. B. Antivirensoftware oder Netzwerk-Firewalls, die für die korrekte Funktion der Zahlungsanwendung erforderlich sind;
  3. Entwickler, die sich auf unsichere Verbindungsmethoden für den Kundensupport verlassen.

Was umfasst der Anwendungsbereich von PA DSS?

Der Standard umfasst alle Funktionalitäten einer Zahlungsanwendung:

  1. Zweiwege-Zahlungsfunktionalität (Autorisierung und Abwicklung);
  2. Eingabe und Ausgabe;
  3. Fehlerbedingungen;
  4. Schnittstellen und Integrationen mit anderen Systemen, Dateien und/oder Zahlungsanwendungen oder deren Komponenten;
  5. Alle Flüsse von Kartendateninhalten;
  6. Verschlüsselungsmechanismen;
  7. Authentifizierungsmechanismen;

Der Standard umfasst Empfehlungen, die der Zahlungsanbieter seinen Kunden und Integratoren/Resellern vorlegen muss, um sicherzustellen, dass:

  1. Der Kunde weiß, wie die Zahlungsanwendung gemäß den Anforderungen von PCI DSS implementiert werden soll;
  2. Der Kunde sich bewusst ist, dass bestimmte Parameter der Zahlungsanwendungsumgebung die Einhaltung des PCI DSS-Standards verhindern können.

Es sei anzumerken, dass der Zahlungsanbieter die oben genannten Empfehlungen vorlegen muss, auch wenn der spezifische Parameter:

  1. Nach der Installation der Anwendung durch den Kunden nicht mehr vom Zahlungsanbieter gesteuert werden kann;
  2. Die Verantwortung des Kunden und nicht des Zahlungsanbieters ist.

Darüber hinaus umfasst der Standard:

  • alle ausgewählten Plattformen der geprüften Version der Zahlungsanwendung (die Plattformen müssen spezifiziert werden);
  • Methoden und Mittel innerhalb der Zahlungsanwendung oder die von ihr verwendet werden, um auf Kartendaten zuzugreifen und sie anzuzeigen (Protokollierung, Buchhaltung usw.);
  • alle Softwarekomponenten im Zusammenhang mit der Zahlungsanwendung, einschließlich Anforderungen und Wechselwirkungen von Software von Drittanbietern;
  • alle anderen Arten von Zahlungsanwendungen, die für die vollständige Umsetzung notwendig sind;
  • Methodik zur Entscheidung über die Version des Anbieters.

Welche spezifischen Anforderungen hat PA DSS?

PA DSS besteht aus 14 Anforderungen, gehen wir sie durch.

  1. Vollständige Daten vom Magnetstreifen, Code, Kartenprüfwert (CAV2, CID, CVC2, CVV2) oder Daten des PIN-Blocks dürfen nicht gespeichert werden.
  2. Gewährleistung der sicheren und geschützten Speicherung von Kartendaten des Karteninhabers.
  3. Bereitstellung einer sicheren Authentifizierungsfunktion.
  4. Protokollierung der Aktivität der Zahlungsanwendung.
  5. Entwicklung sicherer Zahlungsanwendungen.
  6. Schutz der drahtlosen Datenübertragung.
  7. Testen von Zahlungsanwendungen zur Beseitigung von Schwachstellen und regelmäßiges Aktualisieren der Anwendungen.
  8. Gewährleistung der Möglichkeit zur Implementierung von Zahlungsanwendungen in einer sicheren Netzwerkumgebung.
  9. Kartendaten des Karteninhabers dürfen niemals auf dem mit dem Internet verbundenen Server gespeichert werden.
  10. Sicherstellung eines sicheren Remote-Zugriffs auf die Zahlungsanwendung.
  11. Verschlüsselung vertraulichen Datenverkehrs in öffentlichen Netzwerken.
  12. Verschlüsselung nicht-konsolenbezogenen administrativen Zugriffs.
  13. Erstellung von Richtlinien zur Umsetzung von PA DSS für Kunden, Integratoren und Reseller.
  14. Festlegung von Verantwortlichkeiten für Mitarbeiter im Zusammenhang mit dem PA DSS-Standard und Organisation von Schulungsprogrammen für Kunden, Integratoren und Reseller.

Wie bei anderen Standards wird auch der PA DSS regelmäßig aktualisiert. Wie sieht dieser Prozess aus?

Der PCI SSC-Rat folgt einem dreijährigen Zyklus der Aktualisierung des Standards. Im ersten Jahr wird der Standard in der Branche umgesetzt, im zweiten Jahr werden Feedback in Form von Kommentaren und Vorschlägen von Mitgliedern der Zahlungskartenindustrie gesammelt, und im dritten Jahr wird eine neue Version des Standards vorbereitet.

Zwischen diesen Phasen werden PCI SSC Community Meeting-Konferenzen abgehalten. Diese Konferenzen bestehen aus amerikanischen und europäischen Sitzungen, in denen teilnehmende Organisationen, internationale Zahlungssysteme, Berater, QSA (Qualified Security Assessor)-Prüfer sowie Händler und Dienstleister die Zukunft des Standards und der zugehörigen Dokumente diskutieren.

Hier ist eine kurze Übersicht über die Geschichte der Änderungen am PA DSS:

  • 1.1 — der Standard wurde am 15. April 2008 angenommen;
  • 1.2 — der Standard wurde am 15. Oktober 2008 aktualisiert;
  • 1.2.1 — Juli 2009;
  • 2.0 — Januar 2010;
  • 3.0 — Februar 2014;
  • 3.1 — Juli 2015;
  • 3.2 — die neueste Version, die im Mai 2016 aktualisiert wurde.

Zusammenfassend

Wie aus der heutigen Diskussion ersichtlich ist, ist das Thema der regulatorischen Compliance sowohl umfangreich als auch komplex. Und das können wir aus Erfahrung sagen – bei Elinext liefern wir Lösungen für Kunden selbst in den streng regulierten Bereichen. Um das zu ermöglichen, gewährleisten wir die Einhaltung der geltenden Standards, sei es PCI DSS, HIPAA oder andere, und behalten alle Aktualisierungen im Blick, damit unsere Kunden beruhigt sein können.

Wenn Sie nach einem zuverlässigen Partner suchen, der Ihnen helfen kann, die Compliance-Landschaft zu bewältigen und Lösungen zu liefern, die Ihren Geschäftsbedürfnissen und Erwartungen entsprechen, kontaktieren Sie uns noch heute, und wir besprechen Ihr Projekt.

Kontakt
Kontakt


    Insert math as
    Block
    Inline
    Additional settings
    Formula color
    Text color
    #333333
    Type math using LaTeX
    Preview
    \({}\)
    Nothing to preview
    Insert