In unserer Miniserie liefern wir Ihnen Wissenswertes zum Payment Card Industry Data Security Standard (PCI DSS). Starten Sie gut informiert in Ihre PCI DSS Zertifizierung.
Das Wort „Audit“ löst in Unternehmen häufig Besorgnis und gewisse Befürchtungen aus. Einem externen Auditor die Türen zu öffnen und Zugang zu sensiblen Daten, Systemen und Prozessen zu ermöglichen, ist schließlich auf den ersten Blick keine angenehme Aufgabe. Darüber hinaus sorgt sicherlich auch das Wissen, dass die Nichteinhaltung der PCI DSS Anforderungen kostspielige Strafen und unangenehme Folgen für Unternehmen nach sich ziehen kann, für einen gewissen Stress bei verantwortlichen Mitarbeiter*innen. Dabei sollte ein PCI DSS Audit vielmehr als Chance betrachtet werden, gemeinsam mit dem Auditor Schwachstellen und verbesserungsbedürftige Bereiche im Unternehmen aufzudecken sowie Sicherheitsbestrebungen nachhaltig zu stärken.
Um Ihnen den Einstieg und die Vorbereitung auf Ihr PCI DSS Audit zu erleichtern, haben wir die wichtigsten Informationen und den typischen Ablauf eines PCI DSS Audits für Sie zusammengefasst. So können Sie einschätzen, was bei einem Audit wirklich auf Sie zukommt.
Wer muss ein PCI DSS Audit durchführen lassen?
Die Nachweispflicht für die Einhaltung des PCI DSS gilt grundsätzlich für jedes Unternehmen, das Kreditkartendaten verarbeitet, speichert oder weiterleitet - unabhängig von dessen Größe und der jährlichen Anzahl an getätigten Kreditkartentransaktionen. Lediglich die Tiefe und der Umfang der Prüfmethoden, mit denen ein Unternehmen die Einhaltung des PCI DSS nachweisen muss, ändert sich auf Basis des jährlichen Transaktionsvolumens:
Kleine und mittelständische Handelsunternehmen können ihre PCI Compliance mehrheitlich durch eine Selbstauskunft (Self-Assessment Questionnaire, SAQ) nachweisen.
Große Handelsunternehmen und Service Provider müssen ihre PCI Compliance in der Regel durch ein vollumfängliches Audit nachweisen, das durch einen vom PCI Security Standards Council akkreditierten Qualified Security Assessor (QSA) durchgeführt werden muss. Hierzu stellt das PCI Council eine stets aktuelle Liste der QSAs auf seiner Webseite zur Verfügung.
Vor dem initialen Audit: Gap-Analyse
Bevor Sie zum ersten Mal ein PCI DSS Audit durchführen, ist es grundsätzlich sehr empfehlenswert, eine PCI DSS Gap-Analyse durchzuführen zu lassen. Diese Prüfung hilft bei der Identifizierung von administrativen, physischen und technischen Lücken in Ihren Informationssicherheitsmaßnahmen, besonders in Hinblick auf Karteninhaberdatenumgebungen, sogenannte CDE (Cardholder Data Environments). Die Durchführung einer Gap-Analyse ermöglicht es Ihrem Auditor außerdem, sich ein Bild von Ihrem Unternehmen zu machen und herauszufinden, wie gut Sie bereits auf ein PCI DSS Audit vorbereitet sind. Identifizierte Abweichungen zum PCI DSS Standard werden für Sie abschließend in einem detaillierten Maßnahmenkatalog zur Korrektur dokumentiert. Auf Wunsch kann Sie Ihr Auditor auch bei der Korrektur der Abweichungen beratend begleiten.
Audit-Vorbereitung und Planung
Scoping
Der erste Schritt bei der Vorbereitung auf Ihr eigentliches PCI DSS Audit ist das Scoping. Hierbei werden die Bewertungsparameter und der Umfang Ihres anstehenden Audits festgelegt. Ihr Team muss alle Standorte, Systeme und Abläufe identifizieren, in denen Daten von Karteninhabern innerhalb Ihrer CDE gespeichert, verarbeitet oder weitergeleitet werden. Das Scoping aller Systeme sollte jährlich und stets vor Ihrem Audit durchgeführt werden. Es liegt in Ihrer Verantwortung, den Umfang Ihres Audit-Scopes im Voraus abzugrenzen. Ihr Auditor verifiziert die korrekte Festlegung des Scopes bevor das Audit stattfindet, kann aber auf Wunsch auch bereits früher bei der Ermittlung des Scopes unterstützen.
Planung
Vor dem Audit kommen alle Beteiligten zunächst in einem Planungsmeeting zusammen, welches oft auch als „Kick-off“ bezeichnet wird. Dort wird der konkrete Ablaufplan inklusive Audit-Sessions, Audit-Themen sowie Verantwortlichen und Interviewpartner*innen abgestimmt. Im Idealfall stellt Ihr Auditor Ihnen hier bereits eine Liste der für das Audit benötigten Dokumente zur Verfügung, sodass Sie diese frühzeitig bereitstellen können.
Vor-Ort- und Remote-Audit
Das Audit selbst ist ein formaler Prüfprozess, in dem alle für Ihr Unternehmen relevanten Aspekte des PCI DSS geprüft werden. Einige Prüfschritte, wie beispielsweise die Prüfung von Dokumenten und IT-Systemen, können dabei remote aus den Räumlichkeiten Ihres Auditors erledigt werden. Andere Prüfungen hingegen setzen Vor-Ort-Termine in Ihrem Hause voraus, beispielsweise Interviews mit verantwortlichen Mitarbeiter*innen sowie Begehungen Ihrer Räumlichkeiten, bei der physische Sicherheitsanforderungen des PCI DSS überprüft werden.
Korrektur von Findings
Sollte Ihr Auditor im Rahmen Ihres Audits Abweichungen von den PCI DSS-Anforderungen feststellen, werden diese ausführlich dokumentiert. Um Ihnen die Behebung der Abweichungen zu erleichtern, arbeiten einige Auditoren hier zusätzlich mit toolgestützten Tickets. Die Tickets enthalten bereits Maßnahmenempfehlungen des Auditors und können Verantwortlichen in Ihrem Unternehmen zur weiteren Bearbeitung zugewiesen werden. Der aktuelle Bearbeitungsstatus der Abweichungen kann dabei stets von Ihnen und Ihrem Auditor eingesehen werden.
Bericht und Nachbereitung
Ihr QSA erstellt für Sie nach erfolgreichem Abschluss des Audits einen „Report on Compliance“ (RoC) sowie eine „Attestation of Compliance“ (AoC), um die Einhaltung des PCI DSS zu belegen.
Der RoC beschreibt, wie die einzelnen PCI DSS-Anforderungen in Ihrem Unternehmen umgesetzt werden; also die Sicherheitslage, die Umgebung, die Systeme und den Schutz der Karteninhaberdaten in Ihrem Haus. Er dokumentiert zudem, wie der Auditor bei der Überprüfung der jeweiligen Anforderung vorgegangen ist.
Die AoC bestätigt, dass Ihr Unternehmen das Audit abgeschlossen hat und die Anforderungen des PCI DSS erfüllt.
Beratung zwischen den Audits
Waren Sie mit der Betreuung und Auditbegleitung Ihres Auditors zufrieden, bietet es sich häufig an, eine Compliance-Beratung auch unterjährig, also zwischen den jährlichen Audits, in Anspruch zu nehmen. Nehmen Sie beispielsweise eine Änderung an Ihren IT-Systemen oder Prozessen vor, die sich auf die bestehende Karteninhaberdatenumgebung Ihres Unternehmens auswirkt, so kann dies auch den Scope Ihres anstehenden Audits, die auf Sie zutreffenden Anforderungen des PCI DSS und letztlich auch Ihre PCI DSS Compliance beeinflussen. Ihr Auditor kann Ihnen bei Unsicherheiten oder Fragen beratend zur Seite stehen, um Überraschungen beim nächsten Audit vorzubeugen und die größtmögliche Sicherheit der Kartendaten Ihrer Kunden auch abseits des Audits über das ganze Jahr zu gewährleisten.
Weitere Informationen zum PCI DSS finden Sie hier. Haben Sie Fragen oder benötigen Sie Unterstützung bei Ihrem PCI-Compliance-Projekt? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.
