Wenn es darum geht, Kartendaten vor Datenverletzungen zu schützen, ist PCI DSS der wichtigste Sicherheitsstandard.

Aber mit solch strengen Anforderungen kann der Zertifizierungsprozess stressig und einschüchternd sein, besonders wenn es Ihre erste Zertifizierung ist.

Wo soll man anfangen? Welche Richtlinien und Kontrollen werden benötigt? Wenn Sie ein Audit benötigen, wie wissen Sie, ob Sie bereit sind?

Das Verständnis des PCI-Zertifizierungsprozesses kann Ihnen helfen, sich besser auf ein erfolgreiches Audit oder eine Selbsteinschätzung vorzubereiten. Deshalb führen wir Sie durch jeden Schritt des Prozesses unten.

PCI-DSS Compliance-Prozess

Schritt 1: Identifizieren Sie die benötigte Konformitätsstufe

PCI DSS hat je nach einigen Faktoren unterschiedliche Konformitätsstufen:

• Größe Ihrer Organisation
• Anzahl der jährlichen Kreditkartentransaktionen
• Anforderungen Ihrer Kunden oder Acquiring Bank

Der erste Schritt zur Zertifizierung besteht darin, die benötigte Konformitätsstufe zu bestimmen.

Die Entität, die Ihre PCI-Konformität fordert (Kunden, Acquiring Bank, Kreditkartenunternehmen), wird in der Regel in ihrer Anfrage angeben, dass Sie entweder einen Compliance-Bericht (RoC) oder einen Selbsteinschätzungsfragebogen (SAQ) durchführen müssen.

Wenn Sie keine spezifische Anfrage erhalten, können Sie diese Fragen verwenden, um Ihr Konformitätsniveau zu bestimmen.

Zuerst: Sind Sie ein Händler oder ein Dienstleister?

• Händler sind Organisationen, die Kartenzahlungen im Austausch für Waren und Dienstleistungen akzeptieren. Zum Beispiel E-Commerce-Unternehmen.
• Dienstleister sind Organisationen, die Zahlungen im Auftrag eines anderen Unternehmens bearbeiten.

Als nächstes: Wie viele Transaktionen verarbeiten Sie jährlich?

• Händler der Stufe 1: Mehr als 6 Millionen Transaktionen
• Händler der Stufe 2: 1-6 Millionen Transaktionen
• Händler der Stufe 3: 20.000-1 Million Transaktionen
• Händler der Stufe 4: Weniger als 20.000 Transaktionen
• Dienstleister der Stufe 1: Mehr als 300.000 Transaktionen
• Dienstleister der Stufe 2: Weniger als 300.000 Transaktionen

Organisationen der Händler Stufe 1 und Dienstleister Stufe 1 müssen einen PCI-RoC ausfüllen.

Wenn Sie nicht in diese Kategorien fallen, müssen Sie einen SAQ ausfüllen. Der SAQ besteht aus zwei Teilen:

• Ein Satz selbstgesteuerter Fragen, die entwickelt wurden, um Ihre Konformitätsstufe zu bewerten
• Eine Konformitätsbescheinigung (AoC). Dieses Dokument erfordert, dass Sie bescheinigen, dass Sie qualifiziert sind, den SAQ auszufüllen und dass Sie dies getan haben.
• Es kann sein, dass Sie aufgefordert werden, Ihr SAQ von einer QSA-Firma beglaubigen zu lassen, je nach Ihrem PCI DSS-Level.

Schritt 2: Führen Sie eine vorbereitende Bewertung durch

Um sich auf eine Bewertung vorzubereiten, müssen Sie sicherstellen, dass Richtlinien, Verfahren und Kontrollen vorhanden sind und während des Prüfungszeitraums eingehalten werden. Sie müssen auch eine ASV-Analyse und einen Penetrationstest durchführen.

In diesem Stadium entscheiden sich die meisten Organisationen dafür, eine vorbereitende Bewertung mit einem qualifizierten Sicherheitsprüfer (QSA) oder mit Secureframe durchzuführen. Dieser PCI DSS-Experte wird feststellen, ob Ihr Geltungsbereich, Ihre Kontrollen und Prozesse bereit für die Prüfung sind.

Schritt 3: Füllen Sie ein RoC oder SAQ aus

Wenn Sie ein Händler der Stufe 1 oder ein Dienstleister sind, müssen Sie einen jährlichen Bericht über die Konformität (RoC) ausfüllen. Dies ist eine externe Prüfung durch einen QSA. Der QSA überprüft Ihre Richtlinien, Prozesse, Kontrollen und Nachweise, um zu entscheiden, ob Sie die PCI DSS-Anforderungen erfüllen.

Wenn Sie keinen Bericht über die Konformität (RoC) benötigen, füllen Sie ein SAQ aus. Dieser Fragebogen behandelt jede Anforderung, die erwarteten Tests und fragt, ob die Kontrolle:

• Vorhanden
• Vorhanden mit kompensierender Kontrolle (kompensierende Kontrollen können in Betracht gezogen werden, wenn eine Entität aufgrund dokumentierter legitimer technischer oder geschäftlicher Einschränkungen nicht explizit eine Anforderung erfüllen kann, das Risiko jedoch durch die Implementierung anderer Kontrollen ausreichend gemindert hat.)
• Nicht vorhanden
• N/A
• Nicht getestet

Schritt 4: Halten Sie die Zertifizierung aufrecht

RoC und AoC sind ein Jahr lang gültig. Um die Zertifizierung aufrechtzuerhalten, müssen Sie jedes Jahr ein RoC oder SAQ und AoC ausfüllen.

Hier sind einige andere regelmäßige Aufgaben, die Sie im Laufe des Jahres planen müssen, um Ihre PCI-Zertifizierung aufrechtzuerhalten:

• Tägliche Aufgaben: Überprüfen Sie die Protokolle und alle Warnungen, um Anomalien oder verdächtige Aktivitäten zu identifizieren.
• Wöchentliche Aufgaben: Integritätsüberwachungsanalysen (mit Vergleichen kritischer Dateien) müssen mindestens jede Woche durchgeführt werden.
• Monatliche Aufgaben: Installieren Sie die vom Anbieter bereitgestellten Sicherheitsupdates, um Systemkomponenten und Software vor bekannten Schwachstellen zu schützen.
• Vierteljährliche Aufgaben: Überprüfen Sie die Zugänge der Benutzer, scannen Sie unautorisierte drahtlose Netzwerke und stellen Sie sicher, dass Daten außerhalb des Aufbewahrungszeitraums gelöscht wurden. Sie müssen auch Schwachstellenanalysen mit einem genehmigten Scan-Anbieter (ASV) durchführen.
• Halbjährliche Aufgaben: Überprüfen Sie die Firewall- und Router-Konfigurationen.
• Jährliche Aufgaben: Überprüfen und genehmigen Sie die Richtlinien erneut, verlangen Sie von den Mitarbeitern, dass sie die Informationssicherheitspolitik anerkennen, und führen Sie eine Risikobewertung und einen Penetrationstest durch. Die Schulung zum sicheren Code für Entwickler und die Schulung zur Sicherheitsbewusstsein für Mitarbeiter müssen ebenfalls abgeschlossen sein.