Letztens habe ich f\u00fcr einen Kunden wiederholt den Audit begleitet und erfolgreich abgeschlossen. Ich m\u00f6chte an dieser Stelle betonen, wie wichtig der richtige Umgang mit dem QSA ist. In manchen (vielleicht auch vielen?) Unternehmen wird der QSA als Feind gesehen, er ist der \u201eb\u00f6se Auditor\u201c. Das stimmt so nicht und ist auch ein Fehler. Ein zertifiziertes oder demn\u00e4chst zertifiziertes Unternehmen ist der Kunde und die QSA-Company der Dienstleister. PCI-Audits sind keine beh\u00f6rdliche Pr\u00fcfung einer Aufsichtsbeh\u00f6rde f\u00fcr Datenschutz oder \u00e4hnliches. Man bezahlt f\u00fcr den Audit, also sollte man das Beste aus der Situation machen.<\/p>\n
Verliert man die Ansicht, dass der Audit der \u201eb\u00f6se\u201c ist und ruft sich in Erinnerung, dass man f\u00fcr seine Dienstleistung bezahlt, \u00e4ndert sich auch automatisch die Herangehensweise. Der beste Umgang mit einem QSA ist die offene Variante. Man sollte eventuelle Probleme offen ansprechen und mit ihm dar\u00fcber sachlich diskutieren. Nochmals: Offen und sachlich! Wenn man wei\u00df, dass vielleicht ein Compliance-Problem lauert, kann man das am besten gleich ansprechen. Und zwar direkt am Anfang. Warum? Weil man dann nichts mehr zu verbergen hat und ein Auditor nichts mehr finden kann, was man vielleicht ohnehin schon wei\u00df. Hat man in der Vorbereitung seinen Job gut gemacht, findet er gar nichts mehr. Idealerweise gibt es nat\u00fcrlich gar keine Probleme, aber das ist nicht immer der Fall.<\/p>\n
Diese Vorgehensweise schafft etwas Vertrauen zwischen den Beteiligten und kann ungemein den Audit erleichtern. Auditoren m\u00fcssen f\u00fcr ihren Job eine gewisse Grundskepsis mitbringen, das l\u00e4sst sich nicht vermeiden. Wer sachlich diskutiert, ehrlich und offen ist, wird beim Audit insgesamt besser fahren, als wenn man sich verschlie\u00dft und sinnlose Diskussionen f\u00fchrt, bei denen man ohnehin nur verlieren kann. Einfach den Auditor als Partner sehen ;-).<\/p>\n","protected":false},"excerpt":{"rendered":"
Letztens habe ich f\u00fcr einen Kunden wiederholt den Audit begleitet und erfolgreich abgeschlossen. Ich m\u00f6chte an dieser Stelle betonen, wie wichtig der richtige Umgang mit dem QSA ist. In manchen (vielleicht auch vielen?) Unternehmen wird der QSA als Feind gesehen, er ist der \u201eb\u00f6se Auditor\u201c. Das stimmt so nicht und ist auch ein Fehler. Ein … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[56,44],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-715","6":"format-standard","7":"category-pci-dss","8":"post_tag-audit","9":"post_tag-qsa"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=715"}],"version-history":[{"count":3,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/715\/revisions"}],"predecessor-version":[{"id":718,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/715\/revisions\/718"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}