Unterschiedlich hoher Aufwand für die Zertifizierung

Um eine Zertifizierung zu bekommen, muss der Händler den Nachweis der Umsetzung der geforderten Programme erbringen. Der Aufwand kann dabei unterschiedlich ausfallen. Die niedrigste zu erfüllende Anforderung der verschiedenen Prüfungsmodelle ist das jährliche Ausfüllen eines elektronischen Online-Fragebogens (Self-Assessment Questionnaire). Dabei muss der Händler seine technischen und organisatorischen Maßnahmen angeben und beurteilen. Die Fragen betreffen sämtliche zwölf Bereiche des PCI Data Security Standards (siehe Seite 3).

Die zweite Stufe ist ein Security Scan. Security Scans haben das Ziel, Schwachstellen in Architektur und Konfiguration der untersuchten Systeme aufzudecken, die ein Angreifer ausnutzen könnte, um Kreditkartendaten zu kompromittieren. Die Systeme werden dabei aus dem Internet netzseitig mit Hilfe von Security-Scannern und manuellen Analysen auf mögliche Schwächen hin untersucht. Die eingesetzten Werkzeuge prüfen auf bekannte Schwächen von Netzwerkkomponenten, Betriebssystemen und Applikationen.

Die höchste Stufe ist der so genannte Security Audit. Der Zertifizierer prüft im Rahmen dieses Audits stichprobenartig vor Ort die Angaben des Händlers, die dieser im Dokument »PCI Security Audit Procedures« schriftlich niedergelegt hat. Die Prüfung deckt zwölf Bereiche des PCI Data Security Standards ab und beinhaltet unter anderem:

•die Vorstellung des Geschäftsmodells •den Ablauf einer Kreditkartentransaktion innerhalb der ITSysteme (Datenfluss) •Interviews mit Mitarbeitern, insbesondere auch mit Personen, die Sicherheitsfunktionen im Unternehmen wahrnehmen und Zugriff auf Kreditkartendaten haben, für die Wartung und die für den Betrieb von Systemen verantwortlich sind, auf denen Kreditkartendaten gespeichert, verarbeitet oder weitergeleitet werden •Einsichtnahme in Logdateien der relevanten Anwendungen •Besichtigung der Räume, des Rechenzentrums, des Serverraums usw.