In wenigen Schritten zur PCI Compliance
Unsere Security Consultants unterstützen Sie bei Abklärungen und Audits für den Payment Card Industry Sicherheitsstandard PCI DSS.
Auf den ersten Blick erscheinen die PCI-Anforderungen als komplexes und schwer fassbares Regelwerk. Dies ist nicht verwunderlich, da der Standard gegen 250 Einzelanforderungen umfasst. Viele der Anforderungen von PCI DSS sind aber Best Practices in der Industrie oder werden ebenfalls von anderen Regelwerken (ISO 27001, BSI Grundschutz) gefordert. Hier ergänzt PCI im Wesentlichen mit den Vorgaben, welche die sensitiven Kartendaten speziell schützen.
Die Vorgaben für das Dokumentieren der Compliance sind abhängig vom Transaktionsvolumen. Die technischen und organisatorischen Anforderungen bleiben sich jedoch gleich. Im Vorfeld klären wir gemeinsam ab, welche Vorgaben zum Tragen kommen und gehen wie folgt vor:
- Sensibilisieren
Den Verantwortlichen der betroffenen Systemkomponenten die Notwendigkeit des Standards bekannt machen. Hier zeigen wir – meist im Rahmen von Workshops – auf, welche grundlegenden technischen und organisatorischen Anforderungen für PCI DSS erfüllt werden müssen. - Definieren des Projekt-Scopes
Im Rahmen einer Vorprüfung wird festgestellt, welche Systeme und Netzwerkkomponenten aktuell von den PCI-Anforderungen betroffen sind. Anschliessend prüfen wir, mit welchen Massnahmen dieser Umfang allenfalls verkleinert werden kann. - Anpassungen
Die notwendigen Anpassungen an den in-Scope Systemkomponenten werden gemeinsam erarbeitet. Bei Bedarf unterstützen wir bei der Umsetzung. - Audit
Anschliessend auditieren wir die Systeme und können – bei Erfolg – die entsprechenden Compliance Dokumente ausstellen. - Wiederkehrende Massnahmen
Je nach Art und Grösse des Unternehmens erfordert PCI unterschiedliche wiederkehrende Massnahmen. Wir begleiten unsere Kunden in diesem Zusammenhang und stellen so sicher, dass die PCI-Anforderungen weiterhin erfüllt bleiben.
PCI Security Standards Council
Das PCI Security Standards Council ist eine Dachorganisation der Kredit- und Debitkartengesellschaften mit dem Auftrag, Sicherheitsvorgaben aufzustellen, welche die kritischen Kartendaten schützen sollen. Die Vorgaben des PCI-Standards sind für alle Parteien verbindlich, welche Systeme für das Kartengeld (Kredit- und Debitkarten) betreiben.
Ergonomics ist vom PCI Security Standards Council als offizielle QSA-Company zertifiziert und kann somit Vorabklärungen und Audits im Zusammenhang mit dem PCI DSS-Standard durchführen.
Flyer Erreichen der PCI Compliance
Flyer Vulnerability Scans und Pen Tests für PCI
Fragen oder Kommentare?
Rufen Sie uns an!
Daniel Linder
Senior Consultant
Tel +41 58 311 1024