Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit f\u00fcr einen Kunden \u00fcber die B\u00fchne gebracht.\u00a0Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverst\u00e4ndnisse. Super Ergebnis.<\/p>\n
Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren\u00a0die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das ist nicht immer so. Ein riesiger Erfolgsfaktor ist der Auditor selbst. Ich habe schon ein paar hinter mir:<\/p>\n
(sorry Jungs, meine Meinung)<\/p>\n
Schnarchnasen. Unvorbereitet. \u00dcberfordert. Unsicher im PCI Standard.\u00a0Verr\u00fcckte oder absurde Interpretationen. Keine Ahnung von iptables. Man kann Two Factor Authentication\u00a0auch missverstehen. Philosophische Interpretationen von „all traffic“… uvm.. WTF!<\/p>\n
Man kann den CISSP, CISM, CISA bzw. wohl auch die QSA-Lizenz schaffen und so grunds\u00e4tzlich von Sicherheitskonzepten nicht viel verinnerlicht\u00a0haben.\u00a0Wie oft habe ich Auditoren f\u00fcr Kunden „eingefangen“, die Diskussion zur\u00fcck auf den PCI DSS bezogen und Interpretationen korrigiert.<\/p>\n
Es gibt\u00a0hervorragende QSAs. Und es gibt viele schlechte. Erfolgsfaktor f\u00fcr die eigene PCI Compliance? Die richtige QSA Company mit dem richtigen Auditor w\u00e4hlen. Die falsche Wahl kann Auswirkungen auf die IT und auf die betrieblichen Prozesse haben. Die richtige Wahl macht PCI DSS auch nicht einfacher, aber sch\u00fctzt vor\u00a0\u00dcberraschungen – sowie vor grauen Haaren und Buthochdruck.<\/p>\n","protected":false},"excerpt":{"rendered":"
Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit f\u00fcr einen Kunden \u00fcber die B\u00fchne gebracht.\u00a0Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverst\u00e4ndnisse. Super Ergebnis. Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren\u00a0die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[44],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-2012","6":"format-standard","7":"category-pci-dss","8":"post_tag-qsa"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2012","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=2012"}],"version-history":[{"count":20,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2012\/revisions"}],"predecessor-version":[{"id":2032,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/2012\/revisions\/2032"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=2012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=2012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=2012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}