PCI DSS
Kreditkartendaten in guten Händen
Fortsetzung des Artikels von Teil 2
Den richtigen Partner finden
Für die Auswahl des richtigen Service Provider Angebotes nach PCI DSS können die folgenden Kriterien hilfreich sein:
- Entspricht die Zertifizierung der aktuellen Version von PCI DSS und ist eine Re-Zertifizierung vorgesehen?
- Umfasst die Zertifizierung des Service Providers alle für mein Unternehmen relevanten technischen Leistungen (Scope)?
- Sind neben PCI DSS auch andere für mein Unternehmen wichtige Anforderungen erfüllt, beispielsweise die Regelungen des deutschen Datenschutzes?
- Lässt sich das Service Angebot den individuellen Bedürfnissen meines Unternehmens anpassen (individueller Scope)?
- Ist die zertifizierte Umgebung des Service Providers in allen für mich relevanten Regionen verfügbar und konsistent (globaler Scope)?
- Umfasst das Serviceangebot auch Beratungsleistungen und einen definierten Prozess zur Festlegung der Verantwortlichkeiten zwischen Ihrem Unternehmen und dem Service Provider?
Herausforderungen und Entscheidungen
Eine Zertifizierung nach PCI DSS stellt Unternehmen vor vielseitige technische und organisatorische Herausforderungen sowie unvorhergesehene Entscheidungen.
Um im Vorfeld den Umfang und die Auswirkungen auf die eigene Organisation umfänglich verstehen, planen und die operativen Kosten, sowie die Projektlaufzeit reduzieren zu können, bietet sich die Einbeziehung von externen Experten mit Beratungsschwerpunkt auf PCI DSS an.
Diese Beratungsunternehmen, die in der Regel auch die Funktion des Auditors im Rahmen von PCI DSS übernehmen, liefern dabei zumeist auch zusätzliche Expertise zu den angrenzenden, für das betreffende Land geltenden Regelungen und Standards im Bereich des Datenschutzes und der IT Security.
Etablierte Prozesse im eigenen Unternehmen, wie beispielsweise ein Informations Sicherheits Management können darüber hinaus helfen, die Anforderungen von PCI DSS in der Organisation umzusetzen.
Die Praxis zeigt, dass die, den PCI DSS konformen Diensten zugrundeliegende technische Infrastruktur und deren Betrieb, von der überwiegenden Mehrheit der Unternehmen nicht als unmittelbar wertschöpfend angesehen wird, weshalb sich eine Verlagerung dieser Aufgaben und Verantwortlichkeiten hin zu einem zertifizierten Service Provider anbietet.
Dieser sollte seine Rolle und sein Angebot im Kontext von PCI DSS über die reine Erbringung von technischen Dienstleistungen hinaus, als Teil der Sicherheits- und Prozessarchitektur seiner Kunden verstehen und diese auf ihrem Weg zur Umsetzung von PCI DSS beratend zur Seite stehen.
Friedrich Haarmann ist Senior Product Manager Digital Platforms bei Neos Ventures
- Kreditkartendaten in guten Händen
- Vorteile durch Service Provider
- Den richtigen Partner finden
Lesen Sie mehr zum Thema
