Anforderung 12.11 des PCI DSS wurde bereits mit Version 3.2 des PCI DSS eingeführt und richtet sich vornehmlich an Dienstleister (Service Provider). Auch wenn die Erfüllung dieser Anforderung auf den ersten Blick einfach erscheinen mag, stoßen auch hier einige Unternehmen auf Herausforderungen bei der Umsetzung. Deshalb möchten wir Ihnen in diesem Beitrag einen kurzen Überblick über Anforderung 12.11 und Tipps zur effizienten Einhaltung geben.
Überblick
Ziel der Anforderung 12.11 ist es, Dienstleister dabei zu unterstützen, ihre PCI Compliance unterjährig zwischen den jährlichen Audits aufrechtzuerhalten. Die Anforderung verlangt dafür, dass Dienstleister mindestens vierteljährliche Überprüfungen, interne Reviews, durchführen, um sicherzustellen, dass ihre Mitarbeiter*innen relevante Richtlinien und Prozesse einhalten:
- Durchführung von täglichen Protokollüberprüfungen
- Überprüfung von Firewall-Regelsätzen
- Anwendung von Konfigurationsstandards auf neue Systeme
- Reagieren auf Sicherheitswarnungen
- Einhaltung von Prozessen des Änderungsmanagements
Pflege der Dokumentation des vierteljährlichen Überprüfungsprozesses, einschließlich:
- Dokumentation der Ergebnisse der Überprüfungen
- Überprüfung und Unterzeichnung der Ergebnisse durch Mitarbeiter, die für die PCI DSS Compliance im Unternehmen verantwortlich sind
Sind Sie Dienstleister im Sinne von PCI DSS?
Das PCI Security Standards Council definiert einen Dienstleister, also einen Service Provider, als „[…] ein Unternehmen, das keine Kreditkartengesellschaft ist und direkt an der Verarbeitung, Speicherung, Übertragung und Vermittlung von Karteninhaberdaten für ein anderes Unternehmen beteiligt ist. Dazu gehören auch Unternehmen, die Dienste anbieten, die die Sicherheit von Karteninhaberdaten kontrollieren oder sich darauf auswirken können.“
Zu den traditionellen Dienstleistern gehören Zahlungsabwickler, Zahlungs-Gateways, Anbieter von verwalteten POS-Systemen und Unternehmen, die im Rahmen des Zahlungsprozesses direkt mit Kartendaten in Berührung kommen.
Tipps zur Erfüllung
Zunächst einmal sollten Sie sicherstellen, dass Sie diese Prüfungen auch tatsächlich vierteljährlich durchführen. Ihr Team muss sich aber nicht nur vergewissern, dass die Überprüfungen durchgeführt werden, sondern benötigt auch ein detailliertes Verfahren, in dem festgelegt ist, was bei der Durchführung dieser vierteljährlichen Due-Diligence-Prüfungen zu tun ist. Wie stellen Sie sicher, dass die Protokolle überprüft werden? Wie überprüfen Sie, ob auf Sicherheitswarnungen reagiert wird? Dieses Verfahren sollte so detailliert sein, dass es von jedem Mitglied des IT-, Sicherheits- oder Compliance-Teams befolgt werden kann, um die Einhaltung der Vorschriften auch im Falle von Krankheit oder Personalwechsel einzelner Mitarbeiter*innen zu gewährleisten.
Neben dem Reminder, der an die Durchführung der Kontrollen erinnert, und dem Verfahren, das bei der Durchführung der Kontrollen zu befolgen ist, ist ein weiterer wichtiger Punkt der Nachweis, dass Sie die Kontrollen tatsächlich durchgeführt haben (gemäß Anforderung 12.11.1). Erstellen Sie hierfür eine für Ihr Unternehmen geeignete Art von Aufzeichnungen. Diese sollten mindestens enthalten, wer die Überprüfungen durchgeführt hat, das Datum, an dem die Überprüfungen durchgeführt wurden, die unterzeichnete Genehmigung durch die für die PCI-Compliance in Ihrem Unternehmen verantwortliche Person und die gesammelten Nachweise, dass die aufgeführten Kontrollbereiche erfüllt und die Verfahren ordnungsgemäß befolgt werden. Dabei kann es sich um Screenshots, eine Beschreibung der durchgeführten Kontrollen, Einzelheiten zu den Beobachtungen usw. handeln. Es muss lediglich ein gewisses Maß an Substanz vorhanden sein, das Ihrem Auditor Vertrauen in die Durchführung dieser Kontrollen vermittelt.
Wir unterstützen Sie gerne
Ob sie die internen Reviews von Ihren eigenen Mitarbeiter*innen durchführen lassen oder sich hierfür externe Unterstützung ins Haus holen, stellt Ihnen der Standard frei. Unsere Qualified Security Assessoren (QSAs) unterstützen Sie gerne bei der Erfüllung der Anforderung 12.11.
Ihre Vorteile:
- Effiziente und zielgerichtete Durchführung der Prüfungen durch unsere Expert*innen
- Fortlaufendes Compliance Management, betreut durch einen QSA
- Optimale Vorbereitung auf Ihr jährliches Assessment
- Reduzierung Ihrer internen Aufwände
Sie benötigen Unterstützung oder haben Fragen zu internen PCI DSS Reviews? Auf unserer Webseite finden Sie die wichtigsten Informationen auf einen Blick. Oder Sie sprechen uns einfach an, wir freuen uns auf Sie.
