PCI Audit

Service Provider

Wir bieten Ihnen

  • PCI DSS Audits
  • P2PE Validation Audits
  • Gap Analysen
  • Compliance Beratung
Sprechen Sie uns an

Service Provider sind aus Sicht von PCI Unternehmen welche für andere Unternehmen (Händler oder andere Service Provider) Kartendaten verarbeiten, übermitteln oder speichern. Ein Service Provider muss die PCI-Anforderungen erfüllen und gegenüber seinen Kunden die PCI-Compliance nachweisen. Der Nachweis erfolgt durch ein Listing als zertifizierter Service Provider bei den Kartenorganisationen (Visa, MasterCard, American Express, etc.). Für ein Listing weist der Service Provider die PCI-Compliance typischerweise mit einem Audit durch einen Qualified Security Assessor (QSA-Auditunternehmen) nach.
Sprechen Sie uns an

Begleitung in allen Phase bis zur erfolgreichen Zertifizierung

PCI EINFÜHRUNG

In Workshops und Beratungsgesprächen erläutern wir die PCI-Anforderungen und vermitteln die grundlegenden Kenntnisse um ein PCI-Projekt durchzuführen. Wir unterstützen das Management, die Abteilungsebene und die Fachexperten mit unserer Erfahrung bei PCI-Projekten.

ANALYSEN

Mit Gap Analysen, Scope-Analysen und Konzeptanalysen klären wir gemeinsam mit Ihnen die notwendigen Umsetzungsmassnahmen um die PCI-Anforderungen zu erfüllen. Damit erhalten Sie ein Bild des Umfanges an Arbeiten um die PCI-Compliance zu erreichen.

UNTERSTÜTZUNG

Anhand der Informationen aus den Analysen führen Sie die Umsetzung der notwendigen Maßnahmen durch. Hierbei begleiten wir Sie beratend, helfen Ihnen damit, die richtigen Schritte durchzuführen und diese in Ihrem Unternehmen zu implementieren und stehen Ihnen bei Fragen zur Seite.

AUDIT & ZERTIFIZIERUNG

Nach erfolgreicher Umsetzung der Anpassungen führen wir den Compliance Audit mit Ihnen durch und erstellen die notwendigen Prüfberichte. Im Anschluss erfolgt die Beantragung des Listings bei den Kartenorganisationen und Sie erhalten von uns ein Zertifikat über die erfolgreiche Auditierung.

Outsourcing Dienstleister

Sie sind als Dienstleister für andere Service Provider tätig. Häufig bieten Unternehmen Outsourcing-Dienstleistungen für andere Unternehmen an, welche unter die PCI-Regularien fallen. Als solcher Outsourcing-Dienstleister bietet es sich an eine Teilzertifizierung der Outsourcing-Leistungen für Ihre Kunden durchzuführen. Hiermit zeigen Sie nicht nur, dass  IT-Sicherheit bei Ihnen einen hohen Stellenwert hat, sondern bieten Ihren Kunden auch einen Zusatznutzen, indem Sie Ihre Teilzertifizierung ihren Kunden für deren PCI-Audit zur Verfügung stellen.

Wenn Sie Outsourcing-Dienstleistungen mit Bezug zur Kartendatenverarbeitung anbieten, freuen wir uns über Ihre Kontaktaufnahme. Wir erläutern Ihnen gerne die notwendigen Schritte und die Vorteile im Wettbewerb. Nachfolgend haben wir einige Beispiele von Dienstleistungen zusammengestellt, die als Outsourcing-Dienstleister eine eigene PCI-Teilzertifizierung durchgeführt haben.

RECHENZENTREN

Der PCI-Standard stellt konkrete Security-Anforderungen an die physische Sicherheit, Zutrittskontrollen sowie den Umgang mit Besuchern. Durch die PCI-Zertifizierung bieten Sie ihren Kunden ein nach internationalen Standards abgenommenes Umfeld für deren sensible Daten, zusätzlich einen Kostenvorteil, da die RZ-Umgebung nicht mehr im Rahmen des Kunden-Audits erneut überprüft werden muss.

CALL CENTER

Callcenter bieten im Rahmen einer Kundenbestellung häufig auch die Entgegennahme der Kreditkarteninformation an. Da dieser Geschäftsprozess den PCI-Regularien unterliegt ist die Prüfung, inwieweit das Callcenter eine Verantwortung für eine PCI-Zertifizierung hat, für das Management eine wichtige Frage, nicht nur aus Compliance-Sicht, sondern auch aus Haftungsgründen.

CLOUD SERVICES

Ähnlich wie bei Rechenzentren sind Cloud-Service-Anbieter von den PCI DSS Anforderungen betroffen, da nicht nur Rechenzentrumsleistungen angeboten werden, sondern auch der Betrieb von Applikationen und Lösungen erfolgt. Hierbei übernimmt der Cloud-Service-Anbieter viele Prozessschritte der Kartendatenverarbeitung des Kunden, die eine PCI-Compliance notwendig machen.

HOSTING

Als Hosting-Provider stellen sie nicht nur Co-Location zur Verfügung, sondern betreiben auch auf unterschiedlichen Levels die IT-Infrastruktur und Systeme ihrer Kunden (Operating System, Firewall, Database Systems, etc.). Verarbeitet ihr Kunden auf diesen Infrastrukturen Kartendaten, haben sie als Hosting-Provider die Pflicht die von ihnen administrativ betreuten Systeme entsprechend den PCI-Richtlinien zu betreiben.

Useful Links

Der PCI DSS Standard – Der Prüfkatalog mit allen Anforderungen des PCI DSS Standards

Der P2PE Standard – Der Prüfkatalog mit allen Anforderungen des P2PE Standards