Wer darf PCI DSS Audits in Deutschland durchführen?

PCI DSS (Payment Card Industry Data Security Standard) ist der Sicherheitsstandard für den Umgang mit Kreditkarteninformationen. Ziel ist es, Zahlungskartendaten vor Missbrauch und Diebstahl zu schützen und sowohl Kunden als auch Unternehmen maximal abzusichern. Unternehmen, die Kartenzahlungen verarbeiten, müssen regelmäßig nachweisen, dass sie die Anforderungen von PCI DSS einhalten.

Die Norm kann von der Webseite des Payment Card Industry Security Standards Council kostenlos als PDF bezogen werden.
Link: https://www.pcisecuritystandards.org/document_library/

 

Rollen bei PCI-DSS

Im Rahmen von PCI DSS gibt es verschiedene Parteien, die unterschiedliche Verantwortlichkeiten für die Sicherheit von Zahlungskartendaten tragen. Die wichtigsten Rollen und ihre Pflichten lassen sich wie folgt zusammenfassen:

1. Merchant (Händler / Akzeptanzstelle)

  • Nimmt Kartenzahlungen entgegen (online, vor Ort, telefonisch)
  • Vollumfängliche PCI-DSS-Verantwortung (abhängig vom Level)
  • Nachweis über Self-Assessment oder Onsite-Audit

2. Service Provider (Dienstleister)

  • Verarbeitet, überträgt oder speichert Kartendaten im Auftrag anderer
  • PCI-DSS-konformität erforderlich
  • Nachweis meist durch jährliches Onsite-Audit und Attestation of Compliance (AOC)

3. Acquirer (Acquiring Bank / Zahlungsabwickler)

  • Abwickler der Händlerzahlungen
  • Überwacht PCI-DSS-Compliance der Händler
  • Meldet Verstöße an Kartenorganisationen

4. Issuer (Kartenherausgeber)

  • Gibt Kreditkarten an Endkunden aus
  • Gewährleistet Sicherheit der Karteninhaberdaten
  • Setzt PCI DSS für Verarbeitung und Speicherung um

5. Third Party / Outsourced Service Provider

  • Externe Dienstleister, die Teile der PCI-relevanten Prozesse übernehmen
  • Müssen in die PCI-DSS-Betrachtung des Auftraggebers einbezogen werden
  • Vertraglich geregelte Verantwortung für Sicherheitsmaßnahmen

 

Internes Audit

Nachdem die eigene Rolle im PCI-DSS-System identifiziert und die Anforderungen der Norm im Unternehmen umgesetzt wurden, geht es auf die Zertifizierung zu. Es wird empfohlen, vor dem offiziellen Audit ein internes Audit durchzuführen. Dieses interne Audit dient dazu, die Umsetzung der Norm im Unternehmen zu überprüfen und mögliche Abweichungen frühzeitig zu erkennen.

Das interne Audit kann von jedem qualifizierten Auditor durchgeführt werden, der die Norm kennt und idealerweise unabhängig und unparteiisch ist – also nicht an der Implementierung beteiligt war – um Objektivität sicherzustellen.

Wurde das interne Audit durchgeführt und die erkannten Abweichungen behoben, ist der Weg frei für das offizielle Zertifizierungsaudit. Nun gilt es, ein geeignetes Unternehmen auszuwählen, das die Zertifizierung durchführen soll.

 

Wer darf das Zertifizierungsaudit durchführen?

Wer ein offizielles PCI-DSS-Zertifizierungsaudit durchführen darf, ist klar geregelt: Nur vom PCI Security Standards Council akkreditierte Unternehmen, sogenannte Qualified Security Assessor (QSA) Companies, sind dazu berechtigt. Die Auditoren selbst müssen ebenfalls als QSA zertifiziert sein.

Unternehmen, die in Deutschland als QSA tätig sind, lassen sich auf der offiziellen PCI-Website filtern und einsehen.

Filter für eine Vollständige Liste -> Place of Business = Germany -> Location = Europe -> Sprache = German
Link: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors/

Als deutsche Unternehmen mit deutscher Rechtsform bleiben übrig:

  • Adsigo AG
  • SRC Security Research & Consulting GmbH
  • TÜV SÜD Management Service GmbH
  • usd AG

Die Erfahrung zeigt: Die Wahl des passenden QSA ist entscheidend für eine effiziente und erfolgreiche Durchführung eines PCI DSS Audits. Wir konnen viele Zertifizierngsstellen kennen lernen und Beraten unsere Kunden auch bei der Auswahl des Passenden QSA.

 

Unser Angebot für Sie…

Wir beraten Unternehmen umfassend zu PCI DSS sowie zu weiteren IT-Sicherheitsstandards wie ISO 27001 oder TISAX. Außerdem führen wir interne Audits als Vorbereitung auf das jeweilige Zertifizierungsaudit durch – so stellen Sie sicher, dass Ihr Managementsystem optimal auf die Prüfung vorbereitet ist.

 

Sie möchten mehr über IT-Sicherheit erfahren?

Kontaktieren Sie uns gerne für ein kostenfreies Erstgespräch. Gemeinsam entwickeln wir einen individuellen Maßnahmenplan – egal, ob Sie in München, Nürnberg, Hamburg oder anderswo ansässig sind.

 

➡️ Termin jetzt vereinbaren!

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

 

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net