{"id":506,"date":"2013-08-22T17:51:30","date_gmt":"2013-08-22T15:51:30","guid":{"rendered":"http:\/\/blog.patricksauer.net\/?p=506"},"modified":"2014-02-04T18:40:07","modified_gmt":"2014-02-04T16:40:07","slug":"erfolgsfaktoren-pci-dss-audit-zertifizierung","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pci-dss\/erfolgsfaktoren-pci-dss-audit-zertifizierung\/","title":{"rendered":"Erfolgsfaktoren f\u00fcr den PCI DSS Audit und die Zertifizierung"},"content":{"rendered":"<p>Um Audits erfolgreich und m\u00f6glichst schnell abzuwickeln, ben\u00f6tigt man<\/p>\n<ul>\n<li>einen <a href=\"http:\/\/blog.patricksauer.net\/security\/2013\/08\/was-einen-guten-qsa-bzw-pci-auditor-auszeichnet\/\">guten Auditor<\/a>, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zur\u00fcckschreckt.<\/li>\n<li>eine interne zust\u00e4ndige Person, die PCI DSS kennt, versteht und ausreichend <strong>Erfahrung<\/strong> mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von au\u00dfen einkaufen und dabei auf eine CISSP-Zertifizierung achten. Der Berater muss aber nicht nur PCI DSS verstehen, sondern auch Security mit Business kombinieren k\u00f6nnen.<\/li>\n<li>eine<strong> Reduzierung des Scopes<\/strong>. In der Regel ist es sehr ung\u00fcnstig, wenn alle Bereiche eines Unternehmens unter PCI DSS fallen. Das erh\u00f6ht nicht nur den Dokumentationsaufwand, sondern verringert auch die allgemeine Produktivit\u00e4t.<\/li>\n<li><strong>Unterst\u00fctzung vom Management<\/strong>. Ohne Unterst\u00fctzung von oben geht es nicht. Eine PCI-Zertifizierung kostet nicht nur Geld, sondern wird im Unternehmen am Anfang garantiert unbequem sein. PCI DSS hat in der Praxis nicht den besten Ruf und es gibt zugegeben angenehmere Zertifizierungen. Insbesondere Softwareentwickler scheinen PCI DSS schnell als Feindbild zu sehen. Das muss nicht sein.<\/li>\n<li>Sicherheit als <strong>kontinuierlichen Prozess<\/strong>. Vor dem Audit ist nach dem Audit. PCI DSS h\u00f6rt nicht nach dem Audit auf, und f\u00e4ngt nicht zum n\u00e4chsten Audit wieder an. Beim ersten Audit muss man weniger nachweisen, dass man \u201epci lebt\u201c. Beim zweiten sollte man besser nicht wieder von vorne anfangen. Hierzu werden Prozesse notwendig sein. Mitarbeiter m\u00fcssen mitgenommen werden. Ohne eine Person, die hierf\u00fcr explizit die Zust\u00e4ndigkeit besitzt, wird der n\u00e4chst Audit meist so schwierig wie der erste.<\/li>\n<li>eine gute <strong>Vorbereitung<\/strong>. Man sollte bereits vor dem eigentlichen Audit wissen, ob alles compliant ist und wenn nicht, wo die eigenen Schwachstellen liegen.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Um Audits erfolgreich und m\u00f6glichst schnell abzuwickeln, ben\u00f6tigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zur\u00fcckschreckt. eine interne zust\u00e4ndige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pci-dss\/erfolgsfaktoren-pci-dss-audit-zertifizierung\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[2],"tags":[56,32,44],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-506","6":"format-standard","7":"category-pci-dss","8":"post_tag-audit","9":"post_tag-compliance","10":"post_tag-qsa"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=506"}],"version-history":[{"count":9,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/506\/revisions"}],"predecessor-version":[{"id":522,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/506\/revisions\/522"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}