PCI DSS: Unsere Top 5 Qualitätsmerkmale für einen QSA

2. August 2023

Ist Ihr Unternehmen verpflichtet, Compliance mit PCI-Standards wie dem PCI DSS nachzuweisen und Sie sind auf der Suche nach dem optimalen Qualified Security Assessor (QSA) für Ihr Unternehmen? Als einer der führenden QSAs in Europa haben wir für Sie einige Qualitätsmerkmale zusammengestellt, die Ihr QSA unbedingt mitbringen sollte.

Hier sind die fünf wichtigsten Eigenschaften, die ein QSA unserer Auffassung nach haben sollte, um Ihnen den besten Service zu bieten:

Expertise

Dies ist vermutlich der Aspekt, auf den Sie bei der Auswahl Ihres QSA als erstes achten. Jedes Compliance-Projekt ist so individuell wie die Personen, Prozesse und Technologien in unterschiedlichen Unternehmen. Damit einher gehen erfahrungsgemäß auch immer ganz eigene Herausforderungen und Ausgangslagen. Deshalb sollten Sie unbedingt darauf achten, dass Ihr QSA Ihnen ein Team von Spezialist*innen mit weitreichenden PCI-relevanten Erfahrungen und Qualifikationen zur Seite stellen kann. Im Idealfall wird darüber hinaus bereits beim Erstkontakt mit Ihrem QSA deutlich, dass ihm die IT Security in Ihrem Unternehmen insgesamt wichtig ist – über den Compliance-Nachweis hinaus.

Kompetenz

Es sollte der eigene Anspruch Ihres QSAs an sich selbst sein, Beratungs- und Auditleistungen von höchster Qualität zu liefern. Standardisierte Tools, internes Qualitätsmanagement, Qualifikations- und Weiterbildungsprogramme für Mitarbeiter*innen -  all diese Aspekte sollten bei Ihrem QSA nicht zu kurz kommen. Fragen Sie Ihren QSA, ob entsprechende Maßnahmen in seinem Unternehmen umgesetzt werden und lassen Sie sich gegebenenfalls Zertifikate, beispielsweise nach DIN EN ISO 9001, zeigen. So können Sie davon ausgehen, dass Ihr QSA ernsthaft bemüht ist, Ihnen stets erstklassige Leistungen bieten zu können. Bei einigen QSA-Companies durchlaufen angehende Auditoren das „Associate-QSA“ (A-QSA) Ausbildungsprogramm des PCI SSC. So wird gewährleistet, dass der QSA zunächst eine Expertise aufbaut, bevor er Sie als Projektleiter betreut.

Transparenz

Viele Unternehmen empfinden Ihren PCI-Compliance-Nachweis zunächst als kleinen Kraftakt. Unter anderem liegt dies vermutlich in der Komplexität der verschiedenen PCI-Standards begründet, die so manches Unternehmen zunächst vor die Fragen stellen, welche Zertifizierungen sie eigentlich benötigen und wie entsprechende Audits konkret ablaufen. Lassen Sie sich eingehend von Ihrem QSA hierzu beraten und achten Sie darauf, dass Ihnen Abläufe, Termine und von Ihnen benötigte Mitwirkende, Informationen und Materialien klar kommuniziert werden. Ein guter QSA wird darüber hinaus auch während des Audits stets Kommunikationskanäle mit Ihnen offenhalten und sie über alle Entwicklungen auf dem Laufenden halten. Einige QSA-Companies bieten spezielle Ticketing-Tools an, eine modernere und effizientere Variante der althergebrachten Excel-Listen.

Unabhängigkeit

Ihr QSA darf nicht an bestimmte Lösungen, Produkte oder Dienstleister gebunden sein und Ihnen diese gar empfehlen. Jede Beratung und jede Audit-Tätigkeit sollte stets fachlich fundiert und unabhängig sein und auf Grundlage der besten Lösung für Ihr Unternehmen stattfinden.

Partnerschaftlichkeit

Menschlichkeit und Hilfsbereitschaft sollten Werte sein, die für Ihren QSA einen hohen Stellenwert einnehmen. Schließlich bringen Sie den Auditor*innen Ihres QSAs ein hohes Maß an Vertrauen entgegen, wenn Sie ihnen Ihre internen Geschäftsprozesse und IT-Umgebungen offenlegen und diese überprüfen lassen. Wenn Ihr QSA sich in erster Linie als Ihr Sicherheitspartner versteht, der Ihnen beratend zur Seite steht und Ihnen helfen möchte, Ihr IT-Sicherheitsniveau effektiv zu verbessern, haben Sie eine gute Wahl getroffen.


Über die usd AG

Bereits seit 2004 agieren wir als vom PCI Security Standards Council (PCI SSC) akkreditierter Assessor in allen relevanten Standards der Payment Card Industry. Unser Team aus rund 20 PCI-Auditor*innen ist so vielfältig wie unsere Kunden: Wir beraten Unternehmen weltweit in zwölf Sprachen und zertifizieren sie nach den Sicherheitsstandards der Payment Card Industry. Als zentral organisiertes Team, das in ständigem fachlichen Austausch mit über 100 Security-Expert*innen der usd steht, liefern wir Ihnen erstklassige Ergebnisse aus einer Hand. Der erfolgreiche Abschluss Ihres Zertifizierungsprojekts steht für uns an erster Stelle.

Benötigen Sie Unterstützung bei Ihrem PCI-Compliance-Projekt oder wünschen Sie Beratung durch unser Team? Kontaktieren Sie uns, wir sind gern für Sie da.

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien