PCI DSS - Beratung, Zertifizierung und Umsetzung von SRC aus einer Hand

SRC bietet sowohl die Unterstützung und Beratung bei der Umsetzung der Anforderungen des PCI DSS an, wie auch die Durchführung der sog. PCI DSS Compliance Validation.
SRC orientiert sich in PCI DSS-Projekten an einer vielfach bewährten Vorgehensweise, die typischerweise fünf Schritte umfasst:

  1. Workshop: Hintergründe und Interpretation des PCI DSS
  2. Scoping: Definition des Geltungs- und Anwendungsbereichs
  3. Gap-Analyse/Pre-Audit: Analyse des Ist-Zustands und Identifikation von ggf. vorhanden Abweichungen vom Soll-Zustand, d.h. der Umsetzung der Anforderungen des PCI DSS
  4. Remediation: Ausarbeitung eines Maßnahmenplans (kurz-, mittel- und langfristig) unter Berücksichtigung der Rahmenbedingungen und der Risikoeinschätzung zur Beseitigung der Abweichungen sowie Umsetzung der Maßnahmen
  5. Compliance Validation: Nachweis der Umsetzung des PCI DSS

Mit dem Workshop werden die Grundlagen für alle nachfolgenden Arbeiten zur Vorbereitung auf die PCI DSS Compliance Validation gelegt, d.h. für die Bestimmung des Anwendungsbereichs (Scoping), die Durchführung eines Soll-/Ist-Vergleichs (Gap-Analyse) sowie die Planung und Umsetzung von Maßnahmen (Remediation).

Step 1: PCI DSS Workshop

Ein Berater von SRC führt zu Beginn der PCI DSS Zertifizierung einen Workshop auf der Basis der in den „PCI Data Security Standard, Requirements and Security Assessment Procedures“ genannten Anforderungen und den Vorgaben der Zahlungssysteme durch.
Der einführende Workshop beinhaltet den Wissenstransfer in zwei Richtungen:

  1. Vorstellung der Anforderungen des PCI DSS und deren Interpretation, insbesondere aus der Sicht eines Auditors, und
  2. Vorstellung der Anwendungen, Systeme und Prozesse beim Kunden.

Gemäß den Erfahrungen von SRC stellt das gemeinsame und wechselseitige Verständnis eine unerlässliche Grundlage für eine effiziente und effektive Umsetzung des PCI DSS sowie der Compliance Validation dar. Nur damit lassen sich die Auswirkungen des PCI DSS sowie die möglichen Umsetzungsstrategien und Handlungsoptionen bewerten.Der Workshop richtet sich an die Verantwortlichen der Prozesse, Anwendungen und Systeme, in denen Kartendaten gespeichert, verarbeitet oder weitergeleitet werden, d.h. Produktmanager, Prozessverantwortliche und System- und Netzwerkadministratoren.

Step 2: Scoping

Der PCI DSS betrifft alle Systeme, Anwendungen und Prozesse, in denen Kartendaten gespeichert, verarbeitet und weitergeleitet werden. Um den Anwendungsbereich festzulegen, hat SRC einen Leitfaden entwickelt, der die Verantwortlichen bei der vollständigen Identifikation und Erfassung der für PCI DSS relevanten Systeme und Anwendungen unterstützt. Die Erfahrungen von SRC zeigen, dass regelmäßig Bereiche bzw. Anwendungen identifiziert werden, die bislang als für PCI DSS nicht relevant eingestuft wurden.

Step 3: Gap-Analyse/Pre-Audit

Um einen Überblick über den aktuellen Stand eines Unternehmen in Bezug auf die Anforderungen des PCI DSS für den zuvor definierten PCI DSS-Geltungsbereich zu erhalten, werden im Rahmen der Gap-Analyse/des Pre-Audits sowohl Interviews mit den Fachbereichen zu den kartenverarbeitenden Prozessen und zugehörigen Komponenten geführt als auch Systemeinstellungen auditiert.
Dafür vergleicht SRC die bereits umgesetzten organisatorischen (Zugangsschutz), technischen (inkl. Firewalls, Clients, Netze, IDS/IPS) und prozessbezogenen Maßnahmen (z.B. User-Account Management) mit den Anforderungen, wie sie in dem Dokument “PCI DSS Requirements and Security Assessment Procedures” beschrieben sind. Die Gap-Analyse/das Pre-Audit orientiert sich an einem regulären PCI DSS Security Audit und wird jene Abweichungen identifizieren, die für eine vollständige PCI DSS-Konformität zu beseitigen sind.

Step 4: Remediation

SRC unterstützt bei der Planung der Maßnahmen zur Umsetzung der Anforderungen des PCI DSS. Die zu ergreifenden Maßnahmen sind mit dem Auftraggeber abzustimmen und müssen die kurz-, mittel- und langfristigen Planungen berücksichtigen.

In enger Abstimmung mit dem Auftraggeber wird SRC je System, Anwendung und Geschäftsprozess eine Einschätzung der erforderlichen Ressourcen, Aufwände und des Zeitbedarfs für die erforderlichen Anpassungsarbeiten geben.
SRC wird mögliche Umsetzungsszenarien, jeweilige Vor- und Nachteile, Anwendung von sog. „Compensating Controls“ oder Auswirkungen auf andere Systeme oder Dritte mit dem Auftraggeber abzustimmen.

Step 5: PCI DSS Compliance Validation

Die PCI DSS Compliance Validation erfolgt in Abhängigkeit von der Einstufung des Händlers oder Service Providers anhand von

Ansprechpartner

Thilo W. Pannen
Detlef Kraus

sdpais[at]src-gmbh.de
Telefon: +49(0)228 2806-166
Telefax: +49(0)228 2806-199

PCI DSS Newsletter

Seit 1. Juli 2008 versendet SRC einen kostenlosen PCI DSS Newsletter in englischer Sprache. Bei Interesse, senden Sie eine Mail an pci-news[at]src-gmbh.de mit dem Betreff "subscribe".