Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis.

Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das ist nicht immer so. Ein riesiger Erfolgsfaktor ist der Auditor selbst. Ich habe schon ein paar hinter mir:

(sorry Jungs, meine Meinung)

Schnarchnasen. Unvorbereitet. Überfordert. Unsicher im PCI Standard. Verrückte oder absurde Interpretationen. Keine Ahnung von iptables. Man kann Two Factor Authentication auch missverstehen. Philosophische Interpretationen von „all traffic“… uvm.. WTF!

Man kann den CISSP, CISM, CISA bzw. wohl auch die QSA-Lizenz schaffen und so grundsätzlich von Sicherheitskonzepten nicht viel verinnerlicht haben. Wie oft habe ich Auditoren für Kunden „eingefangen“, die Diskussion zurück auf den PCI DSS bezogen und Interpretationen korrigiert.

Es gibt hervorragende QSAs. Und es gibt viele schlechte. Erfolgsfaktor für die eigene PCI Compliance? Die richtige QSA Company mit dem richtigen Auditor wählen. Die falsche Wahl kann Auswirkungen auf die IT und auf die betrieblichen Prozesse haben. Die richtige Wahl macht PCI DSS auch nicht einfacher, aber schützt vor Überraschungen – sowie vor grauen Haaren und Buthochdruck.