PCI DSS Security Audits
PCI DSS - Auditierung
SRC bietet die Durchführung eines PCI DSS Security Audits gemäß den Anforderungen aus „PCI Data Security Standard, Requirements and Security Assessment Procedures” an.
Bei der Vor-Ort Analyse werden die organisatorischen und technischen/infrastrukturellen Maßnahmen vor Ort überprüft. Dazu zählen z.B. Prüfung der Sicherheitspolitik, Rollen und Zuständigkeiten, Zugangs- und Zugriffsregeln und -kontrolle, Sicherheits-Audits, Gebäude-technische Maßnahmen, Arbeitsanweisungen, Passwort-Politiken, Personal-Politiken, Berücksichtigung von relevanten Lieferanten, etc. Hierzu wird SRC bei einer Begehung die Umsetzungsgüte der organisatorischen und infrastrukturellen Maßnahmen durch Befragungen, Interviews und Begehungen überprüfen.
Mit dem PCI DSS Security Audit wird geprüft, ob die beim Auftraggeber umgesetzten Sicherheitsmaßnahmen den Anforderungen des PCI Data Security Standards genügen bzw. der Standard eingehalten wird. Für die nicht eingehaltenen Anforderungen ist durch den Auftraggeber ein entsprechender Zeitplan für deren Umsetzung zu erstellen (sog. „Action Plan“).
Der PCI Data Security Standard beinhaltet zwölf Anforderungen aus sechs Themenbereichen, welche alle vor Ort von unseren QSAs überprüft werden:
Build and Maintain a Secure Network
- R1: Install and maintain a firewall configuration to protect data
- R2: Do not use vendor-supplied defaults for system passwords and other security parameters
Protect Cardholder Data
- R3: Protect stored data
- R4: Encrypt transmission of cardholder data and sensitive information across public networks
Maintain a Vulnerability Management Program
- R5: Use and regularly update anti-virus software
- R6: Develop and maintain secure systems and applications
Implement Strong Access Control Measures
- R7: Restrict access to data by business need-to-now
- R8: Assign a unique ID to each person with computer access
- R9: Restrict physical access to cardholder data
Regularly Monitor and Test Networks
- R 10: Track and monitor all access network resources and cardholder data
- R11: Regularly test security systems and processes
Maintain an Information Security Policy
- R12: Maintain a policy that addresses information security
SRC Case Studies
Es wurden verschiedene SRC Case Studies erarbeitet, die verdeutlichen sollen, wie wichtig SRC seine Vermittlerrolle zwischen seinen Kunden und den Kreditkartenorganisationen nimmt. Durch langjährige Erfahrung, gebündelte Kompetenzen und Effizienz im Bereich der Physical und Logical Audits besitzt SRC ein hohes Maß an Vertrauen bei seinen Kunden. Neben der Kostenersparnis durch die Kombinierung von Audits ist es ein grundlegendes Anliegen von SRC, den Kunden ein Leben des PCI Standards zu demonstrieren. Nur so ist gewährleistet, dass sich unsere Kunden durch das Einhalten hoher Sicherheitskriterien zunehmend sicherer im Umgang mit Kartendaten fühlen und sich stärker im Markt etabliert sehen.
SRC Case Study BORICA Ltd.: Mehrere bestandene Audits, mehr Sicherheit und optimierte Prozesse: BORICA Ltd., die zentrale Instanz für Kredit- und Debitkarten in Bulgarien, zieht ein positives Fazit der Unterstützung durch SRC. SRC hat bei BORICA das MasterCard Logical Security Audit gemeinsam mit einem PCI DSS Security Audit und einem Audit der RINGS-Umgebung durchgeführt.
SRC Case Study B+S Card Service GmbH: B+S Card Service ist der erste deutsche Netzbetreiber und Acquirer, bei dem alle relevanten Systeme und Prozesse nach dem PCI-Standard zertifiziert sind. SRC verhalf dem Kartendienstleister an den Standorten Frankfurt und Hamburg zu dem von der Kreditkartenindustrie vorgegebenen Sicherheitsstandard. Auch wenn bei B+S Card Service Sicherheit seit jeher groß geschrieben wird – die Vielzahl der im PCI-Projekt angestoßenen Veränderungen überraschte alle Teilnehmer.
Seitenanfang
Seite drucken