Ich berate Sie in der Umsetzung und Einhaltung des Payment Card Industry Data Security Standards (PCI DSS). Die Umsetzung von PCI DSS kann sich als schwierig erweisen. Viele Unternehmen sind zuerst mit der Komplexität des Standards überfordert. Der PCI DSS nimmt zudem eine besondere Stellung im Vergleich zu anderen Standards ein: Er definiert technische und organisatorische Anforderungen, die teilweise sehr konkret sein können. Der Teufel kann hier im Detail liegen.
Ich war viele Jahre für die PCI DSS Compliance eines internationalen Internet Payment Service Provider verantwortlich und berate seitdem Unternehmen in der erfolgreichen Umsetzung vom PCI DSS. Je mehr Erfahrung und Wissen im Bereich Informationssicherheit, IT-Sicherheit und Sicherheitsmanagement der Verantwortliche für die PCI-Compliance besitzt, desto einfacher verläuft die erste Zertifizierung bzw. die jährliche Re-Zertifizierung. Die Auditoren für PCI DSS, als Qualified Security Assessor (QSA) bezeichnet, müssen zur Zulassung vom PCI Council in der Regel eine Zertifizierung als CISSP, CISM oder CISA vorweisen können. Ich bin kein QSA, kann dafür als CISSP und CISM mit dem Auditor auf Augenhöhe kommunizieren.
Dabei müssen nicht alle Unternehmen, die Kreditkartenzahlungen nutzen, auch einen kompletten Audit durchlaufen. Manchmal reicht auch das Ausfüllen eines SAQs (Self-Assessment Questionnaire), für einfache Merchants oftmals sogar der SAQ A.