Zertifizierung nach PCI DSS

 

Muss ein Unternehmen auf Grund seiner Einstufung ein Onsite Audit durchführen, führen wir es in unserer Rolle als Qualified Security Assessor effizient zur Zertifizierung.

Fragen hinsichtlich der Einstufung Ihres Unternehmens und den daraus resultierenden Zertifizierungsmaßnahmen beantwortet unser PCI DSS Competence Center.

Scope Workshop: Einstieg in die PCI DSS Zertifizierung

Der Scope Workshop dauert ca. 1-2 Tage und findet normalerweise im Hause des Kunden statt. Prüfungsinhalte im Kontext des Unternehmens sowie die Strategie zur effizienten Erreichung der PCI DSS Zertifizierung werden besprochen. Der Zertifizierungsumfang (Audit Scope) wird definiert.

Gap-Analyse: Abweichungen finden, Lösungen erarbeiten

In Zusammenarbeit mit den fachlich Verantwortlichen überprüfen wir die im Audit-Scope befindlichen IT-Systeme, Applikationen und Geschäftsprozesse auf die Einhaltung der PCI Anforderungen. Dort, wo es Abweichungen gibt, erarbeiten wir gemeinsam Lösungen. Im Bedarfsfall unterstützen wir bei der Umsetzung.

Sollte ein Unternehmen aktuell noch keine Kreditkartendaten verarbeiten, dies aber zukünftig planen, prüfen wir das Konzept mit Blick auf die PCI Anforderungen und erarbeiten gemeinsam die nächsten Schritte (Konzept-Review).

Onsite Audit mit Report on Compliance

Die Durchführung des eigentlichen Audits gemäß den Vorgaben des PCI Security Standards Council (PCI SSC) erfolgt in drei Schritten:

• Onsite Audit in Form von Interviews, Begehung relevanter Örtlichkeiten, Dokumentenreviews und der Prüfung aller relevanten IT-Systeme und Applikationen.
• Der jeweilige Auditor erstellt den Report on Compliance (RoC) gemäß den Reporting Instructions des PCI SSC und stimmt ihn final mit dem Kunden ab.
• Abschließend erfolgt noch eine formale Prüfung des RoC durch die Kreditkartenorganisationen.

Zertifikat und Siegel

Zertifizierte Unternehmen erhalten unser werbewirksames Zertifikat und Siegel, das auch zum Nachweis des erreichten Sicherheitsniveaus gegenüber Banken, Wirtschaftsprüfern und der Öffentlichkeit verwandt wird.

So geht es weiter: Fit for PCI

Das PCI DSS Audit ist kein einmaliges Ereignis, es muss jährlich wiederholt werden. Zwecks Minimierung von Aufwand und Kosten der Rezertifizierungen hat es sich bewährt, Änderungen im Unternehmen mit Bezug zu PCI DSS auch unterjährig im Blick zu behalten.

Bei Bedarf unterstützen wir fortlaufend und beantworten detailliert und verbindlich offene Fragen. Zusätzlich sind unsere Kunden immer herzlich zu unseren PCI DSS Best Practice-Workshops eingeladen. Hier erfahren sie alles zu Neuerungen rund um PCI DSS und nutzen die Möglichkeit zum Erfahrungsaustausch mit PCI DSS Verantwortlichen aus anderen Unternehmen.