QSA - InfoSec Blog

Ein Fazit nach 8 Jahren PCI DSS – Gute vs. miserable PCI Auditoren (QSAs)

1. September 2016 by Patrick Sauer Leave a Comment

Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis. Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das … [Read more…]

Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland

16. April 2016 by Patrick Sauer Leave a Comment

PCI DSS Audits dürfen ausschließlich vom PCI Council zugelassene Unternehmen mit als QSA zertifizierte Auditoren durchführen. Unter [1] kann man sich die komplette Liste ansehen. Filtert man auf Unternehmen, die als „Place of Business“ Deutschland und als Sprache „Deutsch“ anbieten, ergibt sich eine Liste mit 8 Unternehmen: Adsigo AG Internet Security Systems a wholly owned IBM … [Read more…]

Der richtige Umgang mit QSAs / Auditoren für PCI DSS

12. Oktober 2013 by Patrick Sauer Leave a Comment

Letztens habe ich für einen Kunden wiederholt den Audit begleitet und erfolgreich abgeschlossen. Ich möchte an dieser Stelle betonen, wie wichtig der richtige Umgang mit dem QSA ist. In manchen (vielleicht auch vielen?) Unternehmen wird der QSA als Feind gesehen, er ist der „böse Auditor“. Das stimmt so nicht und ist auch ein Fehler. Ein … [Read more…]

Erfolgsfaktoren für den PCI DSS Audit und die Zertifizierung

22. August 2013 by Patrick Sauer Leave a Comment

Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt. eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von … [Read more…]

Was einen guten QSA bzw. PCI-Auditor auszeichnet

10. August 2013 by Patrick Sauer Leave a Comment

Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM. Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise … [Read more…]