Ein PCI Report on Compliance (RoC) ist eine Bewertung, die die Sicherheitskontrollen eines Unternehmens, die die Karteninhaberdaten schützen, testet.

Der Bericht beschreibt, ob Ihr Unternehmen alle 12 Anforderungen des PCI DSS-Standards erfüllt und welche Mängel während der Bewertung entdeckt wurden.

Ein RoC ist jedoch nicht für jeden Händler oder Dienstleister erforderlich. Im Folgenden erklären wir, wer einen benötigt und wie der RoC-Prozess funktioniert.

Wer braucht einen PCI DSS RoC?

Akquirierende Banken oder Zahlungskartenmarken verlangen mindestens, dass Sie einen jährlichen Compliance-Bericht und vierteljährliche Netzwerkscans durchführen.

Je nachdem, welcher PCI-Stufe Ihr Unternehmen zugeordnet wird, wird der Compliance-Bericht entweder ein RoC oder ein Selbsteinschätzungsfragebogen (SAQ) sein.

RoCs sind für Händler und Dienstleister der Stufe 1 und potenziell für Händler der Stufe 2 erforderlich, abhängig von den Anforderungen der Kreditkartenmarke.

• Stufe 1 Händler: 6 Millionen oder mehr Transaktionen pro Jahr
• Stufe 2 Händler: 1 Million - 6 Millionen Transaktionen pro Jahr
• Stufe 1 Dienstleister: 300.000 oder mehr Transaktionen pro Jahr

Händler und Dienstleister, die keinen RoC für die PCI-Compliance benötigen, werden einen SAQ ausfüllen.

Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen einen RoC oder SAQ benötigt, können Sie sich an Ihre akquirierende Bank wenden.

Wer kann einen RoC durchführen?

Ein RoC muss von einem Qualified Security Advisor (QSA) oder einem Internal Security Assessor (ISA) abgeschlossen werden.

Ein ISA ist ein interner Mitarbeiter, der eine PCI DSS-Schulung absolviert hat. Während einige Organisationen einen internen Prüfer aus ihren Reihen verwenden, um den RoC abzuschließen, entscheiden sich viele dafür, einen unabhängigen Dritten zu beauftragen.

Der PCI Security Standards Council stellt eine Liste von QSAs zur Verfügung, um Ihnen zu helfen, einen in Ihrer Nähe zu finden.

Wie funktioniert der RoC-Prozess?

QSAs oder ISAs verwenden die RoC-Berichtsvorlage, um eine Zusammenfassung der Ergebnisse zu erstellen, die Einzelheiten zu den vorhandenen Kontrollen und der während der Audit-Phase bereitgestellten Dokumentation enthält.

Nach Abschluss eines RoC legt der Gutachter seine Ergebnisse der erwerbenden Bank des Unternehmens vor. Wenn der Erwerber das RoC akzeptiert, wird es zur Überprüfung an die Zahlungsmarken weitergeleitet.

Zahlungsmarken legen die Audit-Häufigkeit fest, aber im Allgemeinen muss ein Händler oder Dienstleister der Stufe 1 jährlich ein vollständiges Audit durchführen und ein RoC abschließen.

RoC-Abschnitte

Ein RoC ist in zwei Teile unterteilt: eine Bewertungsübersicht und eine Zusammenfassung der Ergebnisse.

• Zusammenfassung der Geschäftsführung: Bietet einen Überblick über die Ergebnisse des Berichts in Bezug auf die Sicherheit von Karteninhaberdaten
• Beschreibung des Geltungsbereichs und des gewählten Ansatzes: Details zur Netzwerksegmentierung, Zahlungssystemanwendungen, der für die Bewertung verwendeten PCI-DSS-Version und dem Zeitrahmen
• Details zur geprüften Umgebung: Enthält ein Diagramm jedes Netzwerksegments, eine Beschreibung der Karteninhaberdatenumgebung (CDE), Dienstleister, während des Audits befragte Personen und relevante Geschäftsdokumente
• Kontaktinformationen und Berichtsdatum: Enthält die Kontaktinformationen des Händlers und Gutachters sowie das Berichtsdatum
• Quartalsweise Scanergebnisse: Eine Zusammenfassung der vier neuesten quartalsweisen Scanergebnisse
• Ergebnisse und Beobachtungen: Eine Zusammenfassung aller Ergebnisse, die möglicherweise nicht in die Standard-RoC-Vorlage passen, einschließlich Details zu kompensierenden Kontrollen

Was sind die möglichen RoC-Ergebnisse?

Es gibt fünf mögliche Bewertungsergebnisse für PCI-DSS-Anforderungen:

• Vorhanden: Es wurde getestet und alle Elemente der Anforderung werden erfüllt
• Vorhanden mit Korrektur: Die Anforderung wurde zu einem bestimmten Zeitpunkt während der Bewertung nicht erfüllt, aber vor Abschluss der Bewertung korrigiert
• Nicht anwendbar: Die Anforderung gilt nicht für die Organisation
• Nicht getestet: Die Anforderung wurde nicht in die Bewertung einbezogen und in keiner Weise getestet
• Nicht vorhanden: Einige oder alle Elemente der Anforderung wurden nicht erfüllt, befinden sich im Implementierungsprozess oder erfordern weitere Tests

Eine Organisation gilt nicht als konform, wenn es offene Punkte oder Punkte gibt, die zu einem späteren Zeitpunkt angegangen werden müssen. Die Validierung ist ein Alles-oder-Nichts-Prinzip, daher müssen alle Anforderungen erfüllt sein, um als PCI-konform zu gelten.

PCI RoC vs. AoC: Wie unterscheiden sie sich?

Ein RoC ist eine Bewertung, die die PCI-Konformität bestimmt. Eine Compliance-Bescheinigung (AoC) bestätigt, dass das RoC korrekt ist.

Ein RoC muss vor einem AoC abgeschlossen werden, das als letzter Schritt im Compliance-Prozess angesehen wird. Beide sind erforderlich, um die Einhaltung des PCI-Standards zu beweisen.

Warum Sie in Erwägung ziehen sollten, einen RoC abzuschließen

Selbst wenn ein RoC für Ihr Unternehmen nicht erforderlich ist, sollten Sie dennoch erwägen, eines abzuschließen.

Ein abgeschlossener RoC bietet Unternehmen eine Vielzahl von Vorteilen, darunter:

• Gewissheit: Durch die Bewertung Ihrer Karteninhaberdaten-Sicherheit durch eine unabhängige Drittpartei haben Sie die Gewissheit zu wissen, dass Sie die Sicherheitsstandards einhalten und Kundendaten angemessen schützen.
• Wettbewerbsvorteil: Unternehmen, die sich für den Abschluss eines RoC entscheiden, beweisen potenziellen und aktuellen Kunden, dass sie den Schutz der Karteninhaberdaten ernst nehmen.
• Glaubwürdigkeit: Die Gewährleistung einer sicheren Karteninhaberdaten-Umgebung führt zu besseren Sicherheitspraktiken im gesamten Unternehmen. Dies kann zu weniger Datenpannen und stärkerem Kundenvertrauen führen.

Wie Secureframe Ihnen bei der Vorbereitung auf ein RoC helfen kann

Sind Sie sich nicht sicher, ob Sie bereit sind, die Konformität mit einem RoC nachzuweisen?

Das Team von PCI DSS-Experten von Secureframe kann Ihnen dabei helfen, Ihr Team und Ihre Umgebung für Karteninhaberdaten schnell auditbereit zu machen, indem es Lücken schnell identifiziert und bei der Behebung unterstützt.

Fordern Sie noch heute eine Demo an, um zu sehen, wie Secureframe Ihren Audit-Prozess optimieren kann.