Digitale Bezahlprozesse im Umfeld der öffentlichen Verwaltung stellen besonders hohe Anforderungen an Sicherheit und Nachvollziehbarkeit. Sensible Zahlungsdaten müssen geschützt und regulatorische Vorgaben zuverlässig in bestehenden Prozess- und Systemlandschaften integriert werden.
In diesem regulatorischen Umfeld bewegt sich auch die S-Public Services GmbH. Sie bedient als Kompetenzcenter für E-Government der Sparkassen-Finanzgruppe anspruchsvolle Kunden wie Bundesbehörden und Kommunalverwaltungen. Sichere Bezahlprozesse nach höchsten regulatorischen Standards sind dabei existenziell.
Mit der zunehmenden regulatorischen Komplexität, insbesondere durch neue Vorgaben für Service Provider, steigen auch die Anforderungen an den Auditprozess. Für das jährliche PCI DSS Audit mit erweiterten Anforderungen suchte die S-Public Services GmbH einen Partner, der regulatorische Vorgaben nicht nur prüft, sondern methodisch einordnet, priorisiert und in tragfähige Auditprozesse überführt. Seit 2024 begleitet die usd AG die S‑Public Services GmbH durch den PCI DSS Zertifizierungsprozess. Der Fokus liegt dabei nicht auf der reinen Erfüllung einzelner Anforderungen, sondern auf einer beherrschbaren, nachvollziehbaren Umsetzung im laufenden Betrieb.
Erweiterter PCI DSS Scope durch neue Anforderungen
Mit der Anpassung der PCI DSS Anforderungen für Service Provider erweiterte sich der Scope der S-Public Services GmbH gegenüber dem Vorjahr deutlich. Dieser erforderte eine klare Abgrenzung neuer Anforderungen, die systematische Einordnung in den bestehenden Zertifizierungsumfang sowie eine realistische Priorisierung. Gemeinsam mit der usd AG wurde der Prüfgegenstand systematisch analysiert, sinnvoll segmentiert und in eine belastbare Roadmap überführt.
Ziel war es, den erweiterten Anforderungskatalog nicht isoliert zu betrachten, sondern konsistent in bestehende Prozesse, Systeme und Verantwortlichkeiten einzubetten.
Strukturierte Vorbereitung und enger Austausch
Um dem erweiterten Prüfumfang souverän zu begegnen, setzten S‑Public Services und die usd auf eine strukturierte Vorbereitung mit klar definierten Rollen, Verantwortlichkeiten und Abstimmungsformaten. In gemeinsamen Workshops wurden die neuen Anforderungen an Service Provider eingeordnet, bestehende Prozesse überprüft und konkrete Umsetzungsschritte priorisiert. Ein besonderer Fokus lag darauf, neue Prozesse und Systeme sauber in die bestehende Landschaft zu integrieren, ohne den laufenden Betrieb zu beeinträchtigen. Die Fähigkeit der usd AG, regulatorische Anforderungen mit der betrieblichen Realität zu verbinden, erwies sich dabei als entscheidender Erfolgsfaktor.
Entscheidend war weniger eine einzelne Maßnahme als das gemeinsame Vorgehen. Die enge Abstimmung, klar geregelte Verantwortlichkeiten und die strukturierte Vorbereitung haben es uns ermöglicht, neue Anforderungen kontrolliert einzuordnen und schrittweise umzusetzen.
Per Philipp Schneider, Senior Consultant und QSA, usd AG
Das Ergebnis: Erfolgreiche Zertifizierung nach PCI DSS bei erweitertem Scope
Trotz deutlich erweiterten Prüfumfangs wurde die Zertifizierung nach PCI DSS v4.0.1 erfolgreich abgeschlossen. Gleichzeitig entstand eine klar nachvollziehbare, auditfeste Sicherheitsarchitektur, die auch künftige regulatorische Erweiterungen nachvollziehbar abbildet.
Die Zusammenarbeit verlief von Beginn an konstruktiv und zielorientiert. Hohe Fachkompetenz, kurze Entscheidungswege und eine durchweg partnerschaftliche Herangehensweise prägten den gesamten Auditierungsprozess.
Besonders hervorzuheben ist, dass alle Beteiligten das Audit nicht als reine Prüfung, sondern als konstruktiven Dialog auf Augenhöhe wahrgenommen haben. Die Fähigkeit der Auditoren, die Komplexität der 12 PCI DSS Anforderungen in klare, umsetzbare Maßnahmen zu übersetzen, bietet uns einen wichtigen Mehrwert.
Dies stärkt die Sicherheitsarchitektur nachhaltig und kommt direkt Kunden der S-Public Services zugute, die höchste Sensibilität für die Sicherheit im Zahlungsverkehr erwarten.
Eva-Christiane Lerche, Senior Produktmanagerin E-Payment, S-Public Services GmbH.
Über S-Public Services GmbH
Die S-Public Services GmbH ist das Kompetenzcenter für E-Government der Sparkassen-Finanzgruppe und Ansprechpartner für die öffentliche Hand sowie kommunalnahe Organisationen und Unternehmen. Mit spezialisierten Plug & Play-Lösungen rund um Payment-Services sowie digitalen Verwaltungsprozessen unterstützt S-Public Services die digitale Transformation verschiedenster Bürgerservices. Sie bietet zahlreiche Möglichkeiten für das digitale Bezahlen, effiziente Buchungsvorgänge und Antragsservices – von einfachen Lösungen bis hin zu kompletten Antragsworkflows mit Anbindung an Fachverfahren. Zudem unterstützt sie Verwaltungen mit modernen E-Government- und Bürgerdiensten, darunter Online-Terminvergabe, Besucherstrom-Management und digitale Antragsverfahren sowie ein umfassender Katalog mit über 500 Formularanwendungen. Zu ihren Kunden zählen Städte, Kommunen und Rechenzentren. Die S-Public Services ist ein Unternehmen der DSV-Gruppe, dem zentralen Dienstleister der Sparkassen-Finanzgruppe. Erfahren Sie mehr unter https://www.s-publicservices.de/
