Archiv für August 2010
PCI DSS Audit PCI DSS Auditor
Payment Card Industry Data Security Standard
aus Wikipedia, der freien Enzyklopädie
Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.
Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.
Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:
1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.
Die Einhaltung der Regeln wird üblicherweise in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:
* Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als „Level 1“ eingestuft wurden oder bei denen Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.
* Händler, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen (Self-Assessment Questionnaire, SAQ)) ausfüllen.
* E-Commerce Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln (Level 3 und 4), müssen ab dem 1. Oktober 2009 einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachweisen. (Visa Member Letter VE 33/08 vom 24. September 2008)
Aktuell suche ich für einen Bekannten in der Nähe von Frankfurt am Main 1-2 Mitarbeiter die sich zum QSA weiterbilden wollen und Erfahrung in mindestens einem dieser Bereiche mitbringen:
Umfangreiche Erfahrungen in der IT Sicherheit
Kenntnisse gängiger Sicherheitsstandards, wie ISO 27001 oder BSI Grundschutz
Kenntnisse im Umfeld des PCI DSS
Zertifikat als CISSP, CISM oder CISA oder eine vergleichbare Zusatzausbildung
Spezialist für Netzwerk- und Systemsicherheit
Für weitere Informationen kontaktieren Sie mich unter info@jutta-staudach.de
Ihre Jutta Staudach
CISA, CISM
Sicherheitsberatung Düsseldorf
Gastartikel Dr. Marius Ebert: Controlling: Balanced Scorecard.
Vorher: einseitige Messung
Balanced Scorecard“ bedeutet wörtlich „ausgewogene Kennzahlentafel“. Balanced
Scorecard (BSC ) ist ein Controlling-Instrument, um ein Unternehmen mit Hilfe von
Kennzahlen zu führen.
Dabei zeichnet sich das Balanced-Scorecard-System vor allem dadurch aus, dass es
auch nicht-finanzielle Größen betrachtet, die bisher nicht so stark im Fokus des Controllings
standen. Es wird als falsch angesehen, Umternehmensleistung allein an den
Finanzresultaten zu messen, da diese Zahlen oft vergangenheitsorientiert und
kurzfristig sind. Wichtig ist aus BSC-Perspektive, eine ausgewogene Messung aller
relevanten Messgrößen zu bekommen.
Controlling: Balanced Scorecard:
ausgewogene Messung
Die Balanced Scorcard wurde Anfang der 90iger Jahre von Harvard-Professor Robert
Kaplan und Berater David Norton entwickelt. Dabei wurde in einem langjährigen
Forschungsprojekt mit 12 Firmen zusammengearbeitet. Kaplan und Norton schlugen
vor, sich die Balanced Scorecard wie die Instrumententafel im Cockpit eines
Flugzeugs vorzustellen. Für den Piloten kann es verhängnisvoll sein, sich nur auf ein
einziges Instrument zu verlassen. Da die Steuerung von Unternehmen heute ähnlich
kompliziert ist, muss der heutige Manager ganz unterschiedliche Felder überblicken.
Die folgenden vier Felder werden als besonders wichtig erachtet:
Controlling: Balanced Scorecard: vier Hauptfelder u. Messung
Die vier wichtigsten Bereiche, die die BSC misst, heißen „Kunden“, „Mitarbeiter und
Innovation“, „Prozesse“ und „Finanzen“. Daneben können noch weitere Bereiche
definiert werden, wie z. B. „Lieferanten“. Kaplan und Norton forderten unternehmensspezifische
Scorecards zu entwickeln.
Die Messung kann mit Hilfe einer Skala erfolgen, die z.B. von 0 bis 100 gehen kann.
„100“ im Bereich „Kunden“ -würde dann bedeuten, dass die Kunden sehr zufrieden
sind. In jedem der 4 Bereiche kann man nun weitere Kennzahlen bilden, die zu
diesem Hauptbereich passen. Im Bereich „Kunden“ könnte man z. B. die Reklamationsquote
messen, im Bereich Finanzen z.B. die Liquidität. Im Bereich „Mitarbeiter“
könnte z. B. die Fluktuationsquote eine Messgröße sein und im Bereich Prozesse
könnte man die Ausschussquote in der Produktion oder den Deckungsbeitrag je
Kunden messen.
Ihre Jutta Staudach
CISA, CISM
Projektmanagementberatung Düsseldorf