Interne PCI DSS Reviews
Erfüllen Sie Anforderung 12.4.2 des PCI DSS
Durch die Anforderung 12.4.2 des PCI DSS sind Service Provider verpflichtet, mindestens vierteljährlich interne Reviews durchzuführen. Ziel der Anforderung ist es, die Service Provider bei der Aufrechterhaltung ihrer PCI DSS Compliance zu unterstützen und sicherzustellen, dass ihre Mitarbeiter*innen relevante Richtlinien und Prozesse einhalten. Darüber hinaus sind Interne PCI DSS Reviews eine solide Vorbereitung auf wiederkehrende PCI DSS Audits.
Ahmad Najim Quarishi
Managing Consultant
„Wir wissen, wie herausfordernd es sein kann, Ressourcen für die vierteljährlich benötigten internen Reviews bereitzustellen und gleichzeitig das Fachwissen, welches hierfür benötigt wird, stets auf dem neusten Stand zu halten. Als akkreditierte Qualified Security Assessor Company stehen wir Ihnen daher gerne zur Seite, sodass Sie sich auf Ihr Kerngeschäft konzentrieren können."
Wie gehen wir bei einem internen PCI DSS Review vor?
Kick-Off & Vorbereitung
Die Vorbereitung jedes Reviews erfolgt im Rahmen eines Kick-Off Meetings via Telefon- oder Webkonferenz. Wir informieren Sie über unsere Vorgehensweise zur Durchführung und koordinieren mit Ihnen die Rahmenbedingungen.
Optional: Sie erhalten von uns im Rahmen des Vorbereitungsprozesses auf das interne Review zur Vorvalidierung eine Checkliste und ein „Collect Script“, um Sie bei der vollständigen und strukturierten Erbringung der erforderlichen Nachweise zu unterstützen.
Durchführung
Die Durchführung der Reviews erfolgt in Form von Vor-Ort-Workshops oder mittels Telefon- und Webkonferenzen durch unsere Qualified Security Assessoren. Dabei überprüfen wir die Einhaltung nachfolgender Prozesse:
- Durchführung von täglichen Log-Reviews und Firewall Rule-Set Reviews
- Anwendung von Konfigurationsstandards auf neue Systeme
- Reaktion auf Security Alerts
- Einhaltung von Change Management Prozessen
Die Validierung der Prozesse erfolgt durch Interviews mit Ihren verantwortlichen Mitarbeiter*innen, Dokumentenanalyse und Prüfung von relevanten IT Systemen.
Optional: Unser Qualified Security Assessor stimmt mit Ihnen ab, ob Ihr Prüfumfang sinnvoll um weitere Prozesse erweitert werden kann, die in den PCI DSS Scope fallen. In diesem Fall nimmt der Assessor diese zusätzlichen Prüfungen bei Ihnen vor.
Remediation
Abweichungen vom PCI DSS werden von uns für Sie dokumentiert. Anhand dieser Empfehlungen nehmen Sie die Korrektur der identifizierten Abweichungen vor.
Optional: Sie erhalten zusätzlich einen detaillierten Maßnahmenkatalog und eine ausführliche Dokumentation aller identifizierter Abweichungen in unserem Spezial-Tool Audit Connect, einer Plattform zum Management von Beratungs- und Zertifizierungsprojekten, welche uns speziell für PCI DSS Projekte entwickelt wurde.
Unser Qualified Security Assessor steht Ihnen für Rückfragen zu den identifizierten Abweichungen zur Verfügung und berät Sie zur effizienten Behebung der Abweichungen.
Re-Testing & Berichterstellung
Falls nötig, führen wir erneute Tests durch, um die Wirksamkeit getroffener Maßnahmen für Sie zu bestätigen.
Abschließend erhalten Sie für jedes Review einen umfassenden Bericht, der Ihnen die Einhaltung der Anforderungen des PCI DSS Requirement 12.4.2 bestätigt. Mittels dieses Berichts können Sie die Einhaltung der Anforderung im jährlichen PCI DSS Audit dann effizient nachweisen.
Ihr persönlicher PCI Officer
Sie benötigen einen PCI-Verantwortlichen in Ihrem Unternehmen? Als Qualified Security Assessor Company stellen wir Ihnen gerne einen unserer erfahrenen Experten als PCI Officer zur Seite.
