background

Was ist ein PCI-Audit?

Durch die Durchführung eines PCI-Audits können Händler und Dienstleister der Stufe 1 und einige der Stufe 2 besser identifizieren und verstehen, welche Kontrollen implementiert werden müssen, um sich gegen potenzielle Bedrohungen für Kartendateninhaber und die Systeme, die diese Daten betreffen, zu schützen.

Bereit, mehr über PCI-Audits und deren Anforderungen zu erfahren? Unten finden Sie Details darüber, wer ein Audit durchführen muss und wie Sie sich darauf vorbereiten.

Was ist ein PCI DSS-Audit?

Ein PCI DSS-Audit, das von einem Qualified Security Assessor (QSA) durchgeführt wird, prüft, wie Ihr Unternehmen die Zahlungsinformationen der Kunden gemäß den im PCI DSS festgelegten Anforderungen verwaltet.

Das Audit hat drei Hauptziele:

  1. Überprüfung der aktuellen PCI-Kontrollen und Identifizierung von Lücken
  2. Dokumentation der Lücken und Bereitstellung einer Liste von Abhilfemaßnahmen
  3. Überprüfung, ob alle Probleme behoben wurden

Während eines PCI-Audits überprüft der QSA Ihre aktuellen Kontrollen, um festzustellen, ob Sie die 12 PCI-Anforderungen erfüllen, entweder direkt oder durch kompensatorische Kontrollen. Der QSA vervollständigt dann einen Compliance-Bericht (RoC) oder bestätigt Ihr SAQ, um die Konformität Ihrer Organisation zu überprüfen.

Wer muss ein PCI-Audit durchführen?

Nicht alle Unternehmen sind verpflichtet, ein PCI-Audit durchzuführen. Nur Händler und Dienstleister der Stufe 1 sind verpflichtet, ein von einem QSA durchgeführtes Audit durchzuführen und einen RoC zu vervollständigen (es sei denn, dies wird ausdrücklich von Ihrer Organisation verlangt).

Händler und Dienstleister der Stufe 1 verarbeiten das höchste Volumen an Kartenzahlungen aller vier PCI-Stufen. Hier ist, was diese Aufteilung darstellt:

  • Stufe 1 PCI DSS-Händler: Akzeptieren Zahlungen per Karte im Austausch für Waren und Dienstleistungen und verarbeiten mehr als 6 Millionen Transaktionen pro Jahr
  • Stufe 1 PCI DSS-Dienstleister: Verarbeiten Kartendaten im Auftrag eines anderen Unternehmens und verarbeiten mehr als 300.000 Transaktionen pro Jahr

Händler und Dienstleister der Stufe 2 können ebenfalls verpflichtet sein, ein jährliches Audit und ein bestätigtes SAQ durchzuführen.

Jedoch könnten alle Händler und Dienstleister, die eine Datenverletzung erlebt haben, bei der Kartendateninhaber-Daten (CHD) kompromittiert wurden, verpflichtet werden, ein jährliches Audit durchzuführen.

Was macht der QSA?

Ihr QSA wird alle Ihre Kontrollen, Richtlinien und Verfahren im Hinblick auf die Anforderungen des PCI DSS überprüfen.

QSA:

  • Überprüfen die von Ihrem Unternehmen bereitgestellten Beweise
  • Genehmigen (oder leiten Sie an, Änderungen vorzunehmen) den Umfang Ihres PCI
  • Bewerten Ihre kompensatorischen Kontrollen, die alternative Kontrollen sind, um eine Anforderung zu erfüllen, die das Unternehmen derzeit nicht umsetzen kann
  • Überprüfen die Einhaltung der PCI DSS-Standards
  • Erstellen und Übermitteln einen vollständigen Abschlussbericht (PCI AoC und RoC)

6 Schritte eines PCI-Audits

Um Ihnen zu helfen, zu verstehen, was ein PCI-Audit beinhaltet, beschreiben wir sechs Schritte von der anfänglichen Abgrenzung bis zur kontinuierlichen Überwachung der PCI-Konformität.

1. Definieren Sie Ihren Umfang

Bei der Bestimmung des Umfangs Ihrer PCI-Bewertung müssen Sie alle Personen, Prozesse und Technologien identifizieren, die die Sicherheit der Kartendaten beeinflussen könnten.

Um zu verstehen, was für Ihr Unternehmen im Umfang enthalten ist, berücksichtigen Sie alle Orte und Flüsse von CHD sowie die Systeme, mit denen die CHD verbunden sind (wie Drittanbieter und Dienstleister), die bei einer Kompromittierung die Integrität dieser Informationen beeinträchtigen könnten.

Der PCI-Bereich muss jährlich neu bewertet werden, um seine Genauigkeit zu gewährleisten. Die Führung einer detaillierten Dokumentation darüber, wie der PCI-Bereich bestimmt wurde, hilft Ihrem Prüfer zu bestätigen, ob der Bereich korrekt definiert wurde.

2. Finden Sie einen qualifizierten Sicherheitsbewerter (QSA)

Qualifizierte Sicherheitsbewerter (QSA) sind die einzigen Bewerter, die berechtigt sind, ein PCI-Audit durchzuführen. Sie können einen QSA hier oder in der offiziellen Liste der QSAs auf der offiziellen PCI-Website finden.

Obwohl viele Unternehmen die Audits an einen QSA auslagern, können Sie, wenn Ihre Organisation über einen eigenen internen Prüfer verfügt, möchten, dass er eine Schulung und Zertifizierung durch den PCI Security Standards Council erhält und als interner Sicherheitsbewerter (ISA) tätig ist. Die ISA sind ebenfalls in der Lage, jährliche PCI-Audits durchzuführen.

3. Durchführung einer Lückenanalyse

Wenn Sie zum ersten Mal eine PCI DSS-Konformität unternehmen, kann es hilfreich sein, eine erste Lückenanalyse durchzuführen, um den Konformitätsprozess zu erleichtern.

Eine Lückenanalyse hilft Händlern und Dienstleistern, ihren aktuellen Konformitätsstatus zu verstehen, bevor sie das eingehendere PCI-Audit in Angriff nehmen.

Ähnlich wie bei einem offiziellen Audit führt ein QSA, ein ISA oder eine erfahrene Person die Lückenanalyse durch, um einen Bericht zu erstellen, der die Ergebnisse darlegt und es Ihrer Organisation ermöglicht, proaktiv Sicherheitslücken zu schließen, um den Auditprozess möglicherweise schneller und effizienter zu gestalten.

4. Durchführung einer Bewertung durch einen QSA

Nach einer Lückenanalyse besteht der nächste Schritt darin, dass Ihr QSA eine gründliche Bewertung durchführt.

Die Bewertung umfasst:

  • Durchsicht der von der Organisation bereitgestellten Dokumentation
  • Überprüfung, ob die erforderlichen Sicherheitskontrollen vorhanden sind
  • Interview mit relevanten Teammitgliedern
  • Inspektion der physischen Sicherheitskontrollen

5. Behebung von Sicherheitsproblemen

Sobald Ihr QSA seine Bewertung abgeschlossen hat, wird er eine dokumentierte Liste der Feststellungen bereitstellen und Ihnen die Möglichkeit geben, alle Schwachstellen oder fehlenden Kontrollen zu beheben, damit Sie einen Konformitätsbericht (RoC) erhalten können.

Nachdem diese Nichtkonformitäten behoben und von Ihrem QSA überprüft wurden, wird er einen endgültigen RoC zur Überprüfung durch Sie einsenden. Nach Genehmigung zeigt Ihr RoC Ihren Stakeholdern und Kunden an, dass Sie PCI-konform sind.

6. Fortsetzung der Überwachung der PCI-Sicherheitsstandards

Ein genehmigter RoC ist nicht das Endstadium Ihres PCI-Konformitätspfads. Unternehmen, die verpflichtet sind, von einem QSA durchgeführte Audits abzuschließen, müssen dies jährlich tun.

Zwischen den Audits sind Sie dafür verantwortlich, die Sicherheitskontrollen kontinuierlich zu überwachen, um sicherzustellen, dass alle PCI-Standards eingehalten werden. Wenn sich Ihr Unternehmen ändert und sich Ihr PCI-Umfang weiterentwickelt, müssen Sie dies ebenfalls aktualisieren.

Die permanente PCI-Konformität kann überwältigend sein. Es gibt jedoch Tools und Tricks, um den Prozess zu erleichtern, wie zum Beispiel:

  • Durchführen von ASV-Scans
  • Verwenden der automatischen Beweiserhebung
  • Kontinuierliche Überwachung Ihrer Systeme und internen Kontrollen
  • Ausfüllen und Aufbewahren von Risikobewertungen von Anbietern

FAQ zum PCI-Audit

Haben Sie noch Fragen zum PCI-Audit? Im Folgenden beantworten wir einige der häufigsten Fragen.

Wie lange dauert ein PCI-Audit?

Die Dauer eines PCI-Audits hängt von mehreren Faktoren ab. Für Unternehmen, die den PCI-Konformitätsprozess zum ersten Mal durchlaufen (einschließlich der Einrichtung der Sicherheitskontrollen), kann der gesamte Prozess etwa sechs Monate dauern.

Der Feldarbeitsanteil eines Audits, der ein QSA-Interview mit Teammitgliedern und das Durchführen relevanter Tests umfasst, kann etwa sechs bis acht Wochen dauern. Die Zusammenarbeit mit einem Compliance-Automatisierungsunternehmen wie Secureframe kann jedoch dazu beitragen, diesen Prozess zu verkürzen.

Wie oft muss ich ein PCI-Audit durchführen?

Ein Händler oder Dienstleister der Stufe 1 muss jedes Jahr ein Audit unter der Leitung eines QSA oder ISA durchführen.

Wenn Sie ein Händler oder Dienstleister der Stufe 2, 3 oder 4 sind, der eine Datenverletzung hatte, bei der die Kartendaten Ihrer Kunden kompromittiert wurden, müssen Sie ebenfalls ein PCI-Audit durchführen.

Was passiert, wenn Sie ein PCI-Audit nicht bestehen?

Im Gegensatz zu einer Mathematikprüfung ist ein PCI-Audit kein bestanden/nicht bestanden Test. Betrachten Sie ein PCI-Audit eher als eine Gelegenheit, die Effektivität Ihrer aktuellen Sicherheitskontrollen zu bewerten und zu stärken.

Wenn Ihr QSA Schwachstellen in Ihren Datenschutzpraktiken für Karteninhaber findet, können Sie diesen speziellen Abschnitt des Audits nicht bestehen. Ihr QSA wird Ihnen jedoch einen „Lernleitfaden“ geben, um Ihnen zu helfen, die notwendigen Änderungen vorzunehmen, um die PCI-Konformität zu erreichen.

Auch wenn es schön wäre, während des Audits keine Probleme zu finden, kann deren Identifizierung in dieser Phase Ihnen helfen, größere Probleme in Bezug auf die Nichteinhaltung in der Zukunft zu vermeiden. Dazu gehören kostspielige finanzielle und reputationsbezogene Konsequenzen.

angle-rightWie man PCI-DSS-konform wirdKosten der PCI-Konformitätangle-right

Präsentation von PCI DSS

PCI DSS Anforderungen

PCI DSS-Konformitätsverfahren, Zeitrahmen und Kosten

Automatisierung der PCI-DSS-Konformität

PCI DSS Werkzeuge und Ressourcen