Der richtige Umgang mit QSAs / Auditoren für PCI DSS
Letztens habe ich für einen Kunden wiederholt den Audit begleitet und erfolgreich abgeschlossen. Ich möchte an dieser Stelle betonen, wie wichtig der richtige Umgang mit dem QSA ist. In manchen (vielleicht auch vielen?) Unternehmen wird der QSA als Feind gesehen, er ist der „böse Auditor“. Das stimmt so nicht und ist auch ein Fehler. Ein zertifiziertes oder demnächst zertifiziertes Unternehmen ist der Kunde und die QSA-Company der Dienstleister. PCI-Audits sind keine behördliche Prüfung einer Aufsichtsbehörde für Datenschutz oder ähnliches. Man bezahlt für den Audit, also sollte man das Beste aus der Situation machen.
Verliert man die Ansicht, dass der Audit der „böse“ ist und ruft sich in Erinnerung, dass man für seine Dienstleistung bezahlt, ändert sich auch automatisch die Herangehensweise. Der beste Umgang mit einem QSA ist die offene Variante. Man sollte eventuelle Probleme offen ansprechen und mit ihm darüber sachlich diskutieren. Nochmals: Offen und sachlich! Wenn man weiß, dass vielleicht ein Compliance-Problem lauert, kann man das am besten gleich ansprechen. Und zwar direkt am Anfang. Warum? Weil man dann nichts mehr zu verbergen hat und ein Auditor nichts mehr finden kann, was man vielleicht ohnehin schon weiß. Hat man in der Vorbereitung seinen Job gut gemacht, findet er gar nichts mehr. Idealerweise gibt es natürlich gar keine Probleme, aber das ist nicht immer der Fall.
Diese Vorgehensweise schafft etwas Vertrauen zwischen den Beteiligten und kann ungemein den Audit erleichtern. Auditoren müssen für ihren Job eine gewisse Grundskepsis mitbringen, das lässt sich nicht vermeiden. Wer sachlich diskutiert, ehrlich und offen ist, wird beim Audit insgesamt besser fahren, als wenn man sich verschließt und sinnlose Diskussionen führt, bei denen man ohnehin nur verlieren kann. Einfach den Auditor als Partner sehen ;-).