Die Erlangung der PCI-Zertifizierung kann ein langer Prozess sein, der Monate manueller Arbeit erfordert, um sich auf eine Bewertung vorzubereiten.

Compliance-Automatisierungssoftware kann diesen Zeitplan erheblich verkürzen. Indem sie automatisch Nachweise sammelt und Ihren Technologie-Stack überwacht, verkürzt sie die Vorbereitungszeit für eine Bewertung um Hunderte von Stunden.

In diesem Artikel beschreiben wir die verschiedenen Schritte zur PCI-Konformität und die Zeit, die zur Erlangung der Zertifizierung mit und ohne Automatisierung erforderlich ist.

PCI DSS Compliance-Zeitplan

Bewertungsvorbereitung: Monate 1 bis 4

  • Schritt 1: Bestimmen Sie die PCI-Stufe
  • Schritt 2: Definieren Sie den Umfang des PCI
  • Schritt 3: Durchführung einer Risiko- und Lückenanalyse
  • Schritt 4: Entwerfen und Implementieren von Richtlinien und Kontrollen
  • Schritt 5: Dokumentieren und Sammeln von Nachweisen

RoC oder SAQ: Monate 5 bis 8

  • Schritt 6: Die Sicherheitskontrollen und Geschäftsprozesse werden in einem externen Audit oder einem von einem QSA oder einer internen Partei überprüften SAQ bewertet
  • Schritt 7: Die Korrektur wird gegen nicht vorhandene Kontrollen durchgeführt
  • Schritt 8: Erhalten oder vervollständigen Sie Ihre Konformitätsbescheinigung, die ein Jahr gültig ist

Überwachung und kontinuierliche Verbesserung: Monate 8 bis 12

  • Schritt 9: Überwachen Sie kontinuierlich Ihre Compliance-Umgebung
  • Schritt 10: Regelmäßige wiederkehrende Aufgaben das ganze Jahr über durchführen

Rezertifizierung: Monat 12

  • Schritt 11: Jährlich ein RoC oder SAQ abschließen

Wie lange dauert es, bis man PCI DSS-konform ist?

Die Dauer der PCI-Konformität hängt von der Größe Ihres Unternehmens, der Komplexität des Karteninhaberdatenmanagements und der Bandbreite ab, die Ihnen zur Implementierung der PCI-DSS-Kontrollen zur Verfügung steht.

Ein kleines oder mittleres Unternehmen kann erwarten, dass es im Durchschnitt in vier Monaten auditbereit ist und dann den Bewertungsprozess in sechs Monaten durchläuft. Große Organisationen benötigen möglicherweise acht Monate bis ein Jahr oder länger.

Diese vier Monate der Auditvorbereitung beinhalten in der Regel die Definition des Umfangs Ihres CDE, die Durchführung einer Risiko- und Lückenanalyse, das Entwerfen und Implementieren von Kontrollen, die Schulung des Personals und die Vorbereitung der Dokumentation und Nachweise.

Der Bewertungsprozess kann je nachdem, ob Sie einen vollständigen Konformitätsbericht oder einen Selbstbewertungsfragebogen ausfüllen, 2 bis 3 Monate dauern. Wenn Sie ein Händler oder Dienstleister der Stufe 1 sind, werden Sie von einem externen QSA-Unternehmen auditiert und erhalten ein RoC, der die Karteninhaberdatenumgebung Ihrer Organisation, die PCI-DSS-Kontrollen und eine detaillierte Beschreibung der Implementierung dieser Kontrollen beschreibt.

Wenn Sie nicht zu diesen Kategorien gehören, füllen Sie einen SAQ aus. Sie können den SAQ von einem QSA überprüfen lassen, um den Konformitätsstatus Ihres Unternehmens mit PCI zu bestimmen, oder selbst bestätigen.

Prüfungsphase: Monat 1 bis 4

In diesem Zeitraum bestimmen Sie das Konformitätsniveau, dem Sie angehören, und ob Sie einen RoC oder einen SAQ benötigen. Sie definieren auch den Umfang Ihres CDE, um alle Komponenten gemäß dem PCI DSS-Standard einzubeziehen.

Als nächstes müssen Sie eine Risikoanalyse durchführen, um potenzielle Risiken zu identifizieren und zu mindern, die Ihre Karteninhaber-Datenumgebung betreffen könnten. Sie können auch einen externen Berater beauftragen oder das priorisierte Ansatz-Tool nutzen, um eine Lückenanalyse durchzuführen und Ratschläge zur Erfüllung der PCI-Anforderungen zu geben.

Die Vorbereitungsphase der Bewertung ist auch der Ort, an dem Sie die Dokumentation vorbereiten müssen, einschließlich der Erstellung von Sicherheitsrichtlinien, der Implementierung technischer und operativer Kontrollen und der Schulung Ihres Personals in PCI-Sicherheitsbewusstsein.

Bewertungsphase: 1-2 Monate

Es gibt zwei mögliche Bewertungen, die ein Unternehmen durchlaufen muss, um PCI-konform zu sein: eine externe Prüfung oder eine Selbsteinschätzung.

Wenn Ihr Unternehmen eine externe Prüfung zur Bewertung auf Stufe 1 durchführt, erstellt der QSA eine Zusammenfassung der Ergebnisse, die die während der Prüfphase vorgelegten Kontrollen und Dokumentationen in einem Konformitätsbericht beschreibt.

Wenn Ihr Unternehmen einen Selbsteinschätzungsfragebogen (SAQ) abschließt, bestätigen Sie als Organisation Ihre eigene Konformität. Ein externer Prüfer kann Ihren SAQ bestätigen, wenn eine Drittprüfung erforderlich ist.

Wie die Automatisierung der Konformität die PCI-DSS-Zertifizierung vereinfacht

Der herkömmliche Prozess zur Erlangung der PCI-Konformität erfordert viel manuelle Arbeit. Sie müssen hunderte von Nachweisen sammeln und organisieren, über ein Dutzend Richtlinien erstellen, herausfinden, wer die Schulungen und Prüfungen der PCI-Richtlinien nicht abgeschlossen hat, und eine Vielzahl anderer mühsamer und zeitaufwändiger Aufgaben erledigen.

Secureframe macht den Prozess viel effizienter. Wir helfen Unternehmen, ihre PCI DSS-Zertifizierung in Rekordzeit zu erhalten.

So geht's:

Automatisierte Beweissammlung

Unsere Plattform sammelt automatisch Beweise für viele technische Anforderungen des PCI. Secureframe stellt außerdem sicher, dass Sie sicher bleiben, indem es Sie benachrichtigt, wenn Kontrollen nicht mehr konform sind, und Details zur Behebung bereitstellt.

Richtlinienvorlagen

Anstatt komplexe und spezifische Richtlinien von Grund auf neu zu schreiben, können Sie aus unserer Bibliothek von PCI DSS-Sicherheitsrichtlinienvorlagen auswählen, diese anpassen und zur Überprüfung durch Ihre Mitarbeiter veröffentlichen. Die Richtlinien werden alle von ehemaligen Prüfern und Compliance-Experten erstellt, überprüft und genehmigt.

Audit-Vorbereitungs-Dashboards

Weisen Sie Ihrem Team das PCI-Sicherheitsschulungs- und Richtlinienbewusstsein zu und verfolgen Sie den Abschluss dieser Aufgaben durch ein einziges Dashboard. Sie erhalten eine Echtzeitansicht, welche Kontrollen bestehen und welche Schritte Sie unternehmen müssen, um PCI DSS-konform zu werden.

Kontinuierliche Überwachung

Überwachen Sie kontinuierlich Ihre PCI-Kontrollen, um den Schutz der Karteninhaberdaten das ganze Jahr über mithilfe unserer mehr als 125 Integrationen sicherzustellen.