Implementierung eines Complianceprojektes am Beispiel PCI DSS

complianceforum.de im Gespräch mit Udo Adlmanninger, Mitglied der Geschäftsleitung der Secaron AG

complianceforum.de:
1)     Sehr geehrter Herr Adlmanninger, was sind Ihrer Erfahrung nach die größten Herausforderungen bei einer Implementierung eines Complianceprojektes?

Udo Adlmanninger:
Im Rahmen eines Complianceprojektes sollen prinzipiell gesetzliche oder regulatorische Vorgaben abgebildet werden. Dabei wird normalerweise ein Standard benutzt, der unscharfe gesetzliche Vorgaben näher erläutert und in detaillierteren Anforderungen darstellt. Beispiele für Standards im Bereich der Informationssicherheit bzw. der IT sind CoBiT, ISO 27001 oder PCI DSS. Die größten Herausforderungen dabei sind aus unserer Sicht, einen Mehrwert für das Unternehmen zu schaffen und alle betroffenen Mitarbeiter vom Management bis zur Technik rechtzeitig zu beteiligen. Zusätzlich sind Prozesse so zu definieren, dass weitere Anforderungen leicht erfüllt werden können.

complianceforum.de:
2)      Nehmen wir das Beispiel PCI DSS. Die Abkürzung PCI DSS steht für Payment Card Industry Data Security Standard. Was genau verbirgt sich dahinter und welche Unternehmen sind davon betroffen?

Udo Adlmanninger:
Der PCI-Datensicherheitsstandard (DSS) wurde entwickelt, um die Datensicherheit von Kartendaten zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherungsmaßnahmen auf der ganzen Welt zu vereinfachen (vgl. Einführung PCI DSS v1.2).  Betroffen von PCI DSS sind alle Unternehmen, die Kreditkartendaten speichern, verarbeiten oder übertragen. Dabei sind nur die Systeme betroffen, die direkt Kartendaten speichern, verarbeiten oder übertragen. Neben dem PCI DSS gibt es noch den PCI PA-DSS für die Hersteller von Anwendungen für Zahlungstransaktionen und den PCI PTS für die Hersteller von Komponenten, die die Kreditkartendaten schützen.
 
complianceforum.de:
3)      So gesehen könnte man fast von einem klassischen Complianceprojekt sprechen. In welchen Phasen läuft die Implementierung von PCI DSS ab?

Udo Adlmanninger:
Aus unserer Sicht läuft die Implementierung ähnlich ab, wie beim Aufbau eines Informationssicherheitsmanagementsystems nach ISO 27001. Dies trifft deshalb zu, da ein großer Teil der Anforderungen analog zu den Controls der ISO 27001 sind. Die Umsetzung besteht also aus einem organisatorischen und einem technischen Teil. Hierbei geht es um IT-Betriebsprozesse bzw. Sicherheitsprozesse wie Patch Management, Logging und Monitoring, aber auch um die technische Umsetzung, wie einer sicheren Firewallkonfiguration, um die Kreditkartendaten zu schützen. Um es auf Phasen herunter zu brechen, wird der erste Schritt eine Gap-Analyse sein, um den Iststand zu ermitteln. In den weiteren Schritten geht es zuerst um den organisatorischen Überbau im Sinne von Vorgaben beispielsweise durch Richtlinien und Prozessen. Diese Prozesse müssen vom Unternehmen  auch "gelebt" und nachgewiesen werden können. Nachweise sind dabei z.B. Changeanträge für Änderungen an den Systemen. Nachfolgend müssen Vorgaben, die aus den Richtlinien und natürlich aus den Anforderungen des PCI DSS kommen, technisch umgesetzt werden.

 
complianceforum.de:
4)      Ein erfolgreich umgesetztes PCI DSS Projekt könnte benutzt werden, um Kunden zu demonstrieren, daß die Firma dem Schutz von Kundendaten besondere Bedeutung zumisst. Welche weitere Vorteile können für Kunden und Stakeholder in Frage kommen?

Udo Adlmanninger:
Zuerst einmal muss jedem betroffenen Unternehmen klar sein, dass es die Anforderungen des PC DSS erfüllen muss; hierbei besteht keine Wahlfreiheit. Neben einem Marketingeffekt nach außen, sollte ein Unternehmen die Umsetzung dazu nutzen, IT-Betriebsprozesse und Sicherheitsprozesse sauber zu strukturieren und nachweisbar ablaufen zu lassen. Der Vorteil von definierten und protokollierten Prozessen ist es, die Fehlerquote zum einen zu reduzieren und zum anderen können eben durch Monitoring Fehler schneller erkannt und durch die Protokollierung Fehler schneller behoben werden.

 
complianceforum.de:
5)      Was sind die Konsequenzen bei Nichtbefolgung von PCI DSS?

Udo Adlmanninger:
Die Konsequenzen für Non-Compliance sind abhängig von den einzelnen Kreditkartenunternehmen und/oder Regionen. Eine allgemein gültige Aussage ist leider nicht möglich.

Das Interview führte Christian Koch.

München, den 29. Dezember 2009