Nachweise im PCI DSS-Audit
In dieser Folge unsere PCI DSS v4.0‑Blogs erläutern wir, welche Pflichten Auditoren beim Nachweis ihrer Audit-Ergebnisse haben, und wie Sie am besten die Erbringung angemessener Nachweise für PCI DSS v4.0‑Audits vorbereiten.
Auditprozess
Im Laufe eines PCI DSS-Assessments (oder, wie wir im Deutschen häufig sagen, ‑Audits) prüfen Auditoren, inwieweit die PCI DSS-Anforderungen bei einem Unternehmen umgesetzt sind.
Üblicherweise beinhaltet ein Auditprozess die folgenden Prüfschritte:
- Review von Dokumenten,
- Review von Systemkomponenten/-einstellungen,
- Review von Prozessen,
- Review von physischen Gegebenheiten,
- Review von Protokollen/Ergebnissen, und
- Interviews mit Personal.
Dies ändert sich auch nicht mit der Migration auf PCI DSS v4.0.
Nachweispflichten
Welche Notizen eine Auditorin sich macht und welche Nachweise sie wie ablegt, bleibt für die auditierte Firma normalerweise im Verborgenen. Wir geben Ihnen hier einen kleinen Einblick, was sich dort mit PCI DSS v4.0 verändert.
Das PCI SSC hat mit dem neuen Reporting Template für PCI DSS v4.0 sowie mit einem Update des PCI DSS Program Guide für QSAs jetzt klargestellt, dass sie für jeden Prüfschritt fordern, dass der Auditor einen entsprechenden Nachweis abgelegt. Die prüft das PCI SSC auch stichprobenartig bei den Auditfirmen.
Für Dokumente ist dies einfach: der Nachweis ist das jeweilige Dokumente selbst. Ähnlich ist es bei Protokollen/Ergebnissen – hier muss nur darauf geachtet werden, dass klar ist, um welches System oder welchen Prozess es hier geht.
Falls Sie einem Auditor einen Screenshot oder eine Datei als Nachweis schicken, achten Sie daher bitte darauf, die Information mitzuliefern, um welche Systemkomponente und/oder welche Prozess es geht.
Beim Review von Systemkomponenten/-einstellungen ist es notwendig, dass der Auditor sich dedizierte Notizen zu dem jeweiligen System und der jeweiligen Einstellung macht.
Beim Review von Prozessen oder physischen Gegebenheiten muss die jeweilige Gegebenheit detailliert beschrieben werden, und es muss dargestellt werden, welche Schlüsse die Auditorin aus der Beobachtung zieht. In ähnlicher Form wird auch bei einem Interview erwartet, dass die Auditorin grob die Fragen und Antworten mitschreibt.
Geben Sie bitte dem Auditor im Audit genügend Zeit, sich entsprechende Notizen zu machen.
An vielen Stellen kann es die Schreibarbeit verkürzen, wenn der Auditor Kopien oder Screenshots bereitgestellt bekommt oder Fotos machen darf.
Der PCI DSS v4.0 listet etwa 250 Unterpunkte zu den 12 Haupt-Anforderungen auf – entsprechend viele Nachweise benötigt der Auditor.
Aufbewahrungspflichten
Der PCI DSS Program Guide schreibt vor, dass alle oben genannten Nachweise von der Auditfirma für mindestens drei Jahre sicher aufbewahrt werden müssen und auf Anfrage dem PCI SSC und den zugehörigen Gesellschaften verfügbar gemacht werden müssen.
Aus Datenschutz- oder Vertraulichkeitsgründen kommt es vor, dass Unternehmen es für einzelne Nachweise nicht erlauben, dass die Auditorin sie mitnehmen und ablegen darf. In diesem Fall regelt das PCI SSC, dass die Ablage stattdessen bei dem auditierten Unternehmen erfolgen darf. Die Anforderungen an Aufbewahrungsfrist und Verfügbarkeit sind in diesem Fall die gleichen.
Da die Nachweispflichten mit PCI DSS v4.0 größer geworden sind, wird auch dieser Fall in Zukunft häufiger vorkommen.
Wenn Sie erwarten, dass nicht alle Nachweise an den Auditor weitergegeben werden dürfen, bereiten Sie sich als auditiertes Unternehmen am besten vor, indem Sie
- eine revisionssichere Aufbewahrung der Nachweise für mindestens drei Jahre vorbereiten,
- während des Audits eine Liste der nicht ausgehändigten Dokumente und Nachweise führen,
- eine schriftliche Bescheinigung für den Auditor vorbereiten, in der Sie
- den Aufbewahrungsort benennen,
- den Ansprechpartner benennen, an den das PCI SSC sich wenden kann, wenn es Nachweise einsehen möchte, und
- eine revisionssichere Aufbewahrung bis zu einem konkret benannten Datum, welches mindestens drei Jahre in der Zukunft liegt, bestätigen.
Umgang mit Abweichungen
Wie sieht es mit den Nachweisen aus, wenn im Audit nicht sofort die Erfüllung aller Anforderungen nachgewiesen werden konnte, sondern Abweichungen festgestellt wurden?
Geplante Abweichungen
Der einfachste Fall ist es, wenn Sie als auditiertes Unternehmen bereits vorab erkannt haben, dass Sie eine Anforderung nicht erfüllen können oder nicht auf dem vorgegebenen Weg erfüllen möchten. In diesem Fall haben Sie zum Audit bereits eine Dokumentation einer Compensating Control oder eines Customized Approaches vorbereitet. Hierbei kann Ihnen auch ein PCI DSS-Experte helfen – es darf nur nicht der gleiche sein, der die Umsetzung dann auch prüft.
Zum Customized Approach werden wir in einer späteren Folge unseres PCI DSS v4.0‑Blogs noch ausführlich Stellung nehmen.
In beiden Fällen wird die Auditorin die Nachweise der Compensating Control oder des Customized Approaches Ihres Unternehmens prüfen, ggf. Rückfragen stellen, und dann geeignete Prüfmethoden ableiten und durchführen. Die Pflichten zum Erheben von Nachweisen ergeben sich dabei aus der jeweiligen Prüfmethode.
Ungeplante Abweichungen – „INFI“
Treten während eines Auditzeitraums ungeplante Abweichungen von den PCI DSS-Anforderungen auf, müssen diese behoben werden und die Behebung durch den Auditor verifiziert werden. Dies war bereits unter PCI DSS v3.2.1 so.
Der PCI DSS v4.0 verlangt zusätzlich explizit, dass der Grund für das Auftreten der Abweichung identifiziert wird, und dass Prozesse implementiert sind, die ein erneutes Auftreten solch einer Abweichung verhindern. Nur in dem Fall kann der Auditor die Anforderung noch als erfüllt ansehen.
Im neuen „Items Noted For Improvement” (INFI)-Dokument müssen bei jedem PCI DSS v4.0‑Audit alle Abweichungen, ihre Gründe, die korrektiven und präventiven Maßnahmen dokumentiert werden.
Die Auditorin stellt dem auditierten Unternehmen zum Abschluss des Audits das INFI-Dokument zur Verfügung, und beide Parteien unterschreiben es. Das INFI-Dokument belegt, dass das auditierte Unternehmen die Abweichungen erfolgreich bewältigt hat. Das Dokument kann im auditierten Unternehmen intern verwendet werden – bspw. in Compliance- und Risiko-Abteilungen – und auf dessen Wunsch auch mit Dritten geteilt werden. Eine Verpflichtung zur Vorlage des INFI-Dokuments gibt es nicht, und es wird auch nicht in der Attestation of Compliance (AoC) referenziert.
Gerade bei regelmäßig zu wiederholenden Prozessen kommt es immer mal wieder dazu, dass sich eine Durchführung verspätet, z.B. bei der Durchführung von
- Security-Awareness-Trainings,
- der Inspektion von Zahlgeräten,
- Schwachstellenscans, oder
- dem Einspielen von Patches.
Überlegen Sie sich am besten bereits im Vorfeld, wie Sie Ihre Prozesse so gestalten, dass Sie die vorgeschriebenen Zeiträume einhalten und Verspätungen sofort bemerken.
Unser Oktober-Blog-Eintrag zu PCI DSS v4.029. September 2023 - 7:54
Heute geht’s los – der Karrieretag 2023 mit SRC in Bonn21. September 2023 - 12:51
8 Schritte zur optimalen Vorbereitung für den Karrieretag18. September 2023 - 18:53
Unser Oktober-Blog-Eintrag zu PCI DSS v4.0
Nachweise im PCI DSS-Audit
In dieser Folge unsere PCI DSS v4.0‑Blogs erläutern wir, welche Pflichten Auditoren beim Nachweis ihrer Audit-Ergebnisse haben, und wie Sie am besten die Erbringung angemessener Nachweise für PCI DSS v4.0‑Audits vorbereiten.
Auditprozess
Im Laufe eines PCI DSS-Assessments (oder, wie wir im Deutschen häufig sagen, ‑Audits) prüfen Auditoren, inwieweit die PCI DSS-Anforderungen bei einem Unternehmen umgesetzt sind.
Üblicherweise beinhaltet ein Auditprozess die folgenden Prüfschritte:
Dies ändert sich auch nicht mit der Migration auf PCI DSS v4.0.
Nachweispflichten
Welche Notizen eine Auditorin sich macht und welche Nachweise sie wie ablegt, bleibt für die auditierte Firma normalerweise im Verborgenen. Wir geben Ihnen hier einen kleinen Einblick, was sich dort mit PCI DSS v4.0 verändert.
Das PCI SSC hat mit dem neuen Reporting Template für PCI DSS v4.0 sowie mit einem Update des PCI DSS Program Guide für QSAs jetzt klargestellt, dass sie für jeden Prüfschritt fordern, dass der Auditor einen entsprechenden Nachweis abgelegt. Die prüft das PCI SSC auch stichprobenartig bei den Auditfirmen.
Für Dokumente ist dies einfach: der Nachweis ist das jeweilige Dokumente selbst. Ähnlich ist es bei Protokollen/Ergebnissen – hier muss nur darauf geachtet werden, dass klar ist, um welches System oder welchen Prozess es hier geht.
Beim Review von Systemkomponenten/-einstellungen ist es notwendig, dass der Auditor sich dedizierte Notizen zu dem jeweiligen System und der jeweiligen Einstellung macht.
Beim Review von Prozessen oder physischen Gegebenheiten muss die jeweilige Gegebenheit detailliert beschrieben werden, und es muss dargestellt werden, welche Schlüsse die Auditorin aus der Beobachtung zieht. In ähnlicher Form wird auch bei einem Interview erwartet, dass die Auditorin grob die Fragen und Antworten mitschreibt.
Geben Sie bitte dem Auditor im Audit genügend Zeit, sich entsprechende Notizen zu machen.
An vielen Stellen kann es die Schreibarbeit verkürzen, wenn der Auditor Kopien oder Screenshots bereitgestellt bekommt oder Fotos machen darf.
Der PCI DSS v4.0 listet etwa 250 Unterpunkte zu den 12 Haupt-Anforderungen auf – entsprechend viele Nachweise benötigt der Auditor.
Aufbewahrungspflichten
Der PCI DSS Program Guide schreibt vor, dass alle oben genannten Nachweise von der Auditfirma für mindestens drei Jahre sicher aufbewahrt werden müssen und auf Anfrage dem PCI SSC und den zugehörigen Gesellschaften verfügbar gemacht werden müssen.
Aus Datenschutz- oder Vertraulichkeitsgründen kommt es vor, dass Unternehmen es für einzelne Nachweise nicht erlauben, dass die Auditorin sie mitnehmen und ablegen darf. In diesem Fall regelt das PCI SSC, dass die Ablage stattdessen bei dem auditierten Unternehmen erfolgen darf. Die Anforderungen an Aufbewahrungsfrist und Verfügbarkeit sind in diesem Fall die gleichen.
Da die Nachweispflichten mit PCI DSS v4.0 größer geworden sind, wird auch dieser Fall in Zukunft häufiger vorkommen.
Umgang mit Abweichungen
Wie sieht es mit den Nachweisen aus, wenn im Audit nicht sofort die Erfüllung aller Anforderungen nachgewiesen werden konnte, sondern Abweichungen festgestellt wurden?
Geplante Abweichungen
Der einfachste Fall ist es, wenn Sie als auditiertes Unternehmen bereits vorab erkannt haben, dass Sie eine Anforderung nicht erfüllen können oder nicht auf dem vorgegebenen Weg erfüllen möchten. In diesem Fall haben Sie zum Audit bereits eine Dokumentation einer Compensating Control oder eines Customized Approaches vorbereitet. Hierbei kann Ihnen auch ein PCI DSS-Experte helfen – es darf nur nicht der gleiche sein, der die Umsetzung dann auch prüft.
In beiden Fällen wird die Auditorin die Nachweise der Compensating Control oder des Customized Approaches Ihres Unternehmens prüfen, ggf. Rückfragen stellen, und dann geeignete Prüfmethoden ableiten und durchführen. Die Pflichten zum Erheben von Nachweisen ergeben sich dabei aus der jeweiligen Prüfmethode.
Ungeplante Abweichungen – „INFI“
Treten während eines Auditzeitraums ungeplante Abweichungen von den PCI DSS-Anforderungen auf, müssen diese behoben werden und die Behebung durch den Auditor verifiziert werden. Dies war bereits unter PCI DSS v3.2.1 so.
Der PCI DSS v4.0 verlangt zusätzlich explizit, dass der Grund für das Auftreten der Abweichung identifiziert wird, und dass Prozesse implementiert sind, die ein erneutes Auftreten solch einer Abweichung verhindern. Nur in dem Fall kann der Auditor die Anforderung noch als erfüllt ansehen.
Im neuen „Items Noted For Improvement” (INFI)-Dokument müssen bei jedem PCI DSS v4.0‑Audit alle Abweichungen, ihre Gründe, die korrektiven und präventiven Maßnahmen dokumentiert werden.
Die Auditorin stellt dem auditierten Unternehmen zum Abschluss des Audits das INFI-Dokument zur Verfügung, und beide Parteien unterschreiben es. Das INFI-Dokument belegt, dass das auditierte Unternehmen die Abweichungen erfolgreich bewältigt hat. Das Dokument kann im auditierten Unternehmen intern verwendet werden – bspw. in Compliance- und Risiko-Abteilungen – und auf dessen Wunsch auch mit Dritten geteilt werden. Eine Verpflichtung zur Vorlage des INFI-Dokuments gibt es nicht, und es wird auch nicht in der Attestation of Compliance (AoC) referenziert.
Überlegen Sie sich am besten bereits im Vorfeld, wie Sie Ihre Prozesse so gestalten, dass Sie die vorgeschriebenen Zeiträume einhalten und Verspätungen sofort bemerken.
Bei Fragen unterstützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.
Heute geht’s los – der Karrieretag 2023 mit SRC in Bonn
Heute ist der große Tag! Wir sind aufgeregt, Dich als Studenten und Absolventen am Karrieretag 2023 in Bonn begrüßen zu dürfen. Die SRC GmbH freut sich darauf, Dich an unserem Stand zu treffen und über aufregende Karrieremöglichkeiten in der IT-Sicherheit zu sprechen.
Entdecke die Welt der Cybersecurity
Unsere Experten stehen bereit, um Dir einen Einblick in die Welt der IT-Sicherheit zu geben. Von mobilen Bezahlmethoden bis hin zu künstlicher Intelligenz und kritischen Infrastrukturen – wir zeigen Dir, wie spannend die IT sein kann.
Unsere Kollegen vor Ort
Am Stand der SRC GmbH wirst Du auf einige unserer talentierten Kollegen treffen:
Egal, welchen Bereich der IT Dich interessiert, unsere Kollegen haben die Antworten auf Deine Fragen und freuen sich darauf, mit Dir zu sprechen.
SRC auf dem Karrieretag 2023 in Bonn: Dein Sprungbrett zur IT-Karriere
Verpass nicht die Chance, Teil dieses aufregenden Tages zu sein. Besuche uns am Karrieretag 2023 in Bonn und lass Dich inspirieren
8 Schritte zur optimalen Vorbereitung für den Karrieretag
Die SRC GmbH bietet spannende Karrieremöglichkeiten für Studenten und Absolventen. Nutze die Gelegenheit einer Jobmesse, um Dich mit unseren Kollegen zu vernetzen. Denke daran, dass solche Karrieretage nicht nur eine Gelegenheit ist, Informationen zu sammeln, sondern auch eine Chance, dich als zukünftigen Mitarbeiter zu präsentieren. Wir haben daher die wichtigsten Vorbereitungstipps zusammengefasst.
#1 Setze klare Ziele
Überlege im Vorfeld, welche Ziele Du für den Karrieretag verfolgst. Möchtest du Dich einfach nur umschauen, nach einer bestimmten Art von Stelle suchen oder Dich gezielt bei einem bestimmten Unternehmen bewerben? Deine Vorbereitung sollte sich nach diesen Zielen richten.
#2 Informiere dich im Voraus
Erfahre mehr über die Aussteller und das Rahmenprogramm des Karrieretags. Da Unternehmen aus verschiedenen Branchen vertreten sein werden, ist es wichtig, im Voraus herauszufinden, welche Stände du besuchen möchtest. Achte auch auf Vorträge und Präsentationen, die während der Veranstaltung angeboten werden, um mehr über die Unternehmen zu erfahren.
#3 Vereinbare Termine
Wenn Du ein besonderes Interesse an einem bestimmten Unternehmen hast, vereinbare im Voraus einen Termin für deinen Besuch am Stand. Dies kannst Du oft einfach über das Unternehmensprofil auf der Veranstaltungswebsite tun. Dadurch sicherst du dir die Aufmerksamkeit der Ansprechpartner und zeigst dein gezieltes Interesse. Bereite Dich auf Gespräche vor: Egal, ob Du Dich nur unverbindlich informieren möchtest oder aktiv nach einer Stelle suchst, überlege dir im Voraus, welche Fragen du den Vertretern der Unternehmen stellen möchtest. Denke auch darüber nach, wie Du Dich selbst präsentieren möchtest, indem du deine Qualifikationen und beruflichen Ziele klar darstellst.
#4 Bringe deine Bewerbungsunterlagen mit
Wenn Du aktiv auf Jobsuche bist, ist es ratsam, deine Bewerbungsunterlagen mitzubringen. Du kannst entscheiden, ob Du eine komplette Bewerbungsmappe, einen Flyer mit den wichtigsten Informationen oder eine Visitenkarte mit einem Link zu deinem LinkedIn-Profil dabei haben möchtest.
#5 Nutze Unterstützungsangebote
Falls Du unsicher bist, ob Deine Bewerbungsunterlagen professionell genug sind, bietet oft die Veranstaltung selbst oder der Career Service kostenlose Bewerbungsunterlagen-Checks an. Du kannst auch individuelle Beratungsgespräche vereinbaren oder Unterlagen per E‑Mail zur Überprüfung einsenden.
#6 Mache Notizen
Plane zwischen den Gesprächen Zeit ein, um wichtige Informationen, Eindrücke und Kontaktdaten festzuhalten. Dies hilft Dir später, nichts Wichtiges zu vergessen oder Dich auf das nächste Gespräch vorzubereiten.
#7 Sei offen für Neues
Auch wenn Du bestimmte Ziele verfolgst, sei offen für unerwartete Möglichkeiten. Manchmal ergeben sich durch Gespräche und Kontakte völlig neue Chancen, die du vorher nicht in Betracht gezogen hast.
#8 Bleib Du selbst
In Bewerbungssituationen versucht man oft, perfekt zu sein. Denke daran, dass Authentizität und Selbstbewusstsein genauso wichtig sind. Es gibt keine universelle Methode, sich bei einem Unternehmen vorzustellen und zu bewerben. Sei Du selbst und finde Deinen eigenen Weg, Dich wohlzufühlen und einen guten Eindruck zu hinterlassen.
Mit diesen Vorbereitungsschritten kannst du den Karrieretag z.B. am 21.09.2023 optimal nutzen, sei‘ mit uns dabei in Bonn.
Neuerungen im Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA)
Am 4. September wurde eine aktualisierte Version des Fast-Track-Verfahrens für digitale Gesundheitsanwendungen (DiGA) gemäß § 139e SGB V veröffentlicht. Diese Aktualisierung bringt einige bedeutende Neuerungen mit sich, die sowohl für Hersteller, Leistungserbringer als auch Anwender von DiGAs von Interesse sind.
Wir haben die wichtigsten Änderungen für Sie zusammengefasst:
Datenverarbeitung außerhalb Deutschlands (3.3.3)
Ein wichtiger Punkt betrifft die Datenverarbeitung außerhalb Deutschlands. Die aktualisierte Version des Leitfadens enthält klare Richtlinien und Anforderungen für den Umgang mit Gesundheitsdaten, die außerhalb Deutschlands verarbeitet werden. Dies ist entscheidend, um die Integrität und Sicherheit sensibler Patientendaten zu gewährleisten.
Sicherheit als Prozess (3.4.2)
Ein weiterer bemerkenswerter Aspekt der Aktualisierung ist die Betonung der Sicherheit als kontinuierlicher Prozess. Die neuen Leitlinien legen großen Wert darauf, dass Sicherheitsmaßnahmen nicht statisch sein dürfen, sondern sich im Laufe der Zeit weiterentwickeln müssen, um den ständig wachsenden Bedrohungen in der digitalen Gesundheitslandschaft gerecht zu werden.
Interoperable E‑Health-Infrastruktur (3.5.1.1)
Eine weitere spannende Neuerung bezieht sich auf „vesta“ und „MIOs“ als Basis einer interoperablen E‑Health-Infrastruktur. Dies weist auf die verstärkten Bemühungen hin, Gesundheitsanwendungen und ‑systeme miteinander zu verknüpfen, um einen reibungslosen Datenaustausch und eine bessere Patientenversorgung zu ermöglichen. Verschärfte Anforderungen an Penetrationstests
Schließlich, und vielleicht am bemerkenswertesten, sind die verschärften Anforderungen an Penetrationstests. Laut der aktualisierten Version des Fast-Track-Verfahrens müssen diese Tests vorrangig von BSI-zertifizierten Teststellen durchgeführt werden. Darüber hinaus sind Code Reviews und Whitebox-Tests verpflichtend. Diese Maßnahmen zielen darauf ab, die Sicherheit von DiGAs weiter zu stärken und potenzielle Sicherheitslücken aufzudecken.
Insgesamt verdeutlicht die Aktualisierung des Fast-Track-Verfahrens das Engagement für die Sicherheit und Qualität von digitalen Gesundheitsanwendungen. Die neuen Richtlinien und Anforderungen sollen dazu beitragen, die Gesundheitsversorgung in der digitalen Ära zu verbessern und gleichzeitig die Sicherheit der Patientendaten zu gewährleisten.
SRC GmbH: Vorreiter in der BSZ-Zertifizierung mit Erweiterung des Expertenteams
Im folgenden Artikel erfahren Sie mehr darüber, wie die SRC GmbH seit September 2021 als anerkannte Prüfstelle für die BSZ agiert und welche wichtigen Entwicklungen und Expertise sie in diesem Bereich bietet.
Beschleunigte Sicherheitszertifizierung (BSZ): Eine Einführung
Die BSZ ist ein Verfahren, das vom BSI in Deutschland angeboten wird, um die Sicherheit von IT-Produkten nachzuweisen. Es wurde eingeführt, um den Herstellern eine schnellere Möglichkeit zu bieten, die Sicherheit ihrer Produkte mit einem BSI-Zertifikat zu belegen. Durch diese Bewertung soll sichergestellt werden, dass das Produkt den Sicherheitsanforderungen des BSI entspricht und den Endanwendern ein angemessenes Maß an Schutz bietet. Im Vergleich zur herkömmlichen Zertifizierung nach Common Criteria (CC) bietet die BSZ den Vorteil einer schnelleren Zertifizierung, besser planbarer Evaluierungslaufzeiten, sowie einen erheblich reduzierter Dokumentationsaufwand für den Hersteller. SRC ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte Prüfstelle für die Beschleunigte Sicherheitszertifizierung (BSZ) und war eine der ersten anerkannten Zertifizierungsstellen überhaupt.
Der Weg zur Sicherheit: BSZ im Vergleich zu CC
Das Verfahren erlaubt nur einen einzelnen Durchlauf, d.h. das zu evaluierende Produkt darf während der Evaluierung nicht mehr verändert werden. Damit wird das Verfahren insgesamt stark beschleunigt, allerdings besteht immer das Risiko, dass Produkte im ersten Versuch durchfallen und damit kein Zertifikat erhalten. In dem Fall kann aber jederzeit ein neues Zertifizierungsverfahren beim BSI beantragt werden.
Unter der Leitung von Peter Jung: Die ersten Schritte der SRC mit BSZ
Unter der Projektleitung von Peter Jung, der von Beginn an bei der SRC die Beschleunigte Sicherheitszertifizierung verantwortet, evaluierte die SCR seitdem u.a. den Lancom 1900EF VPN Router, der auch das erste BSZ-Produkt überhaupt war, sowie anschließend den secunet Highspeedkonnektor. Sobald dieser evaluiert wird, werden wir in einem weiteren Artikel darüber berichten.
Neue Expertise bei SRC: Tim Hirschberg und Dr. Matthieu Felsinger
Die BSZ-Zertifizierung im Detail: Konzentration auf Sicherheitsversprechen
Die Beschleunigte Sicherheitszertifizierung konzentriert sich auf die Überprüfung der vom Hersteller zugesagten Sicherheitsleistung. Die eigentliche Zertifizierung wird nach einer Evaluierung des Produkts durch eine vom BSI anerkannte Prüfstelle, wie die SRC, durchgeführt. Der resultierende Prüfbericht dient dem BSI als Grundlage für die Vergabe des Zertifikats.
Der Weg zum Zertifikat: Der Prüfprozess bei SRC
Die Evaluierung erfolgt in einem festen Zeitrahmen (etwa 2–3 Monate), der sich nach der Komplexität des Produkts richtet. Die Evaluierungsleistungen umfassen unter anderem die Prüfung der zugesagten Sicherheitsfunktionalität (Konformitätstests) und der Installationsanleitung sowie Penetrationstests, bei denen unter realistischen Angriffsszenarien die Wirksamkeit der technischen Sicherheitsmaßnahmen des Produkts geprüft wird.
Auch die Bewertung der implementierten kryptografischen Verfahren ist Teil des umfassenden Prüfprozesses, den ein IT-Produkt durchlaufen muss, um die Beschleunigte Sicherheitszertifizierung zu erhalten.
Der Blick in die Zukunft der Sicherheitszertifizierung
Wir bei der SRC GmbH sind stolz auf unsere Rolle als anerkannte Prüfstelle für die Beschleunigte Sicherheitszertifizierung und darauf, kontinuierlich die Sicherheitsstandards in der IT-Branche voranzutreiben. Mit unserem erfahrenen Team und unserem Engagement für Innovation werden wir weiterhin dazu beitragen, die Sicherheit von IT-Produkten zu gewährleisten.
Wenn Sie mehr über unsere Zertifizierungsleistungen erfahren möchten oder Fragen haben, zögern Sie nicht, uns zu kontaktieren. Gemeinsam können wir die Sicherheitsanforderungen Ihrer Produkte erfüllen und Ihnen den Weg zur Zertifizierung ebnen. Wir freuen uns darauf, mit Ihnen zusammenzuarbeiten und die Zukunft der Sicherheitszertifizierung zu gestalten.
Schutz der Sozialdaten bei Krankenkassen: Einblick in die aktuellen Entwicklungen für 2024
In den letzten Jahren ist der Schutz von Sozialdaten in Deutschland zu einem immer wichtigeren Thema geworden. Dies ist vor allem auf die zunehmende Digitalisierung und die damit verbundenen neuen Bedrohungen zurückzuführen.
Schutzmaßnahmen seit 2018: Gesetzliche Verpflichtung für Krankenkassen
Bereits im Jahr 2018 hat der Gesetzgeber gesetzliche Krankenkassen dazu verpflichtet, spezifische Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme zu implementieren. Diese Maßnahmen haben das Ziel, sicherzustellen, dass persönliche und vertrauliche Informationen in sicheren Händen bleiben.
Verschärfte Anforderungen ab 2024: Einbindung unabhängiger Gutachter
Ab dem Jahr 2024 werden die gesetzlichen Anforderungen an den Schutz von Sozialdaten nochmals erhöht. In diesem Zusammenhang werden nicht nur die Krankenkassen selbst, sondern auch unabhängige Gutachter in den Prozess des Datensicherheit einbezogen. Diese unabhängigen Gutachter sind verantwortlich für die Bewertung der implementierten Schutzmaßnahmen und die Gewährleistung ihrer Konformität mit den strikten gesetzlichen Standards.
SRC: Ein wichtiger Akteur im Gesundheitswesen
SRC ist ein führender Anbieter von IT-Sicherheitsleistungen im Gesundheitswesen. Unsere Tätigkeiten erstrecken sich auf verschiedene Funktionen in denen unsere Kollegen als Gutachter, Auditor und Prüfer zum Einsatz kommen. Besonders hervorzuheben ist die Position von SRC als Sicherheitsgutachter für die Telematikinfrastruktur im Gesundheitswesen. Darüber hinaus überwacht SRC die Umsetzung von Sicherheitsmaßnahmen durch Prüfungen gemäß §8a BSIG bei Versicherungen.
Die Rolle des GKV-Spitzenverbands: Leitlinien für die Datensicherheit
Der GKV-Spitzenverband trägt eine zentrale Verantwortung in Bezug auf den Datenschutz von Sozialdaten. Gemäß § 217f Abs. 4b SGB V hat der Verband die Aufgabe, Leitlinien für die sichere Kommunikation zwischen Krankenkassen und Versicherten zu entwickeln. Diese Leitlinien beinhalten Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme. Die Abstimmung mit der BfDI und dem BSI ist ein integraler Bestandteil dieses Prozesses, bevor die finale Genehmigung durch das BMG erfolgt.
Zukunftssicherheit durch technologieneutrale Richtlinien
Um zukünftige technologische Entwicklungen zu berücksichtigen, sind die Richtlinien des GKV-Spitzenverbands größtenteils neutral in Bezug auf Technologien formuliert. Dadurch bleibt die Relevanz der Schutzmaßnahmen auch bei technischem Fortschritt gewährleistet.
Praktische Umsetzung und Zertifizierungsmöglichkeiten
Konkrete Umsetzungsmöglichkeiten der Richtlinien werden im begleitenden Umsetzungsleitfaden erläutert. Dieser berücksichtigt jedoch nur den Stand der Technik zum Zeitpunkt der Erstellung und kann zukünftige technologische Entwicklungen nicht vollständig vorwegnehmen. Zertifizierungsmöglichkeiten bieten eine Option, die Einhaltung der Richtlinienumsetzung nachzuweisen.
Fazit: Stärkung des Vertrauens in den Sozialdatenschutz
Der Schutz von Sozialdaten bei Krankenkassen nimmt einen immer höheren Stellenwert ein. Durch die enge Kooperation mit unabhängigen Gutachtern wie SRC wird sichergestellt, dass die Implementierung der Schutzmaßnahmen transparent, effektiv und gesetzeskonform erfolgt. Dies trägt dazu bei, das Vertrauen der Versicherten in die Sicherheit ihrer sensiblen Daten zu stärken.
Unser September-Blog-Eintrag zu PCI DSS v4.0
Timeline für die PCI DSS v4.0‑Migration – Was sind die nächsten Schritte?
Mit dem 31.03.2024 rückt das Ende von PCI DSS v3.2.1 näher. Alle Händler, die Zahlungen mit Karten der internationalen Zahlungsmarken Visa, Mastercard, American Express, Discover, JCB oder UnionPay akzeptieren, und alle Dienstleister, die sie dabei unterstützen, sollten auf PCI DSS v4.0 vorbereitet sein.
Aber was sollte man konkret wann tun?
Gap-Analyse
Am Anfang sollte eine Gap-Analyse stehen. Wer bisher noch nicht überprüft hat, welche neuen Anforderungen mit PCI DSS v4.0 auf ihn zukommen, sollte dies so schnell wie möglich nachholen! Die Gründe liegen auf der Hand:
Bei der Gap-Analyse müssen die neuen Anforderungen gelesen und verstanden werden und mit der bestehenden Maßnahmen-Landschaft abgeglichen werden. Für das Verständnis der Anforderungen ist es extrem hilfreich, nicht nur die Anforderung an sich zu lesen, sondern auch die umfangreichen Hilfestellungen, die das PCI SSC jeder Anforderung im Standard zur Seite gestellt hat:
Wenn Sie bereits mit einem PCI DSS-Experten zusammenarbeiten, greifen Sie gerne schon in diesem Schritt auf dessen Expertise und Erfahrung zurück.
Priorisierung
Wenn alle offenen Punkte identifiziert wurden, sollten ihnen Zeiträume und Verantwortlichkeiten zugewiesen werden.
Bei der Zuweisung der Zeiträume sollte das Folgende beachtet werden:
Die Implementierung neuer technischer Lösungen dauert aufgrund interner Abhängigkeiten häufig lang. Oft kommt dies zusammen mit geringen Personalressourcen. Themen, bei denen absehbar ist, dass ihre Umsetzung lange dauern wird, müssen früher angegangen werden als welche, die voraussichtlich schnell erledigt sind.
In v4.0 ist die Häufigkeit der Durchführung für viele regelmäßige Aufgaben nicht mehr fest vorgeschrieben, sondern soll durch eine gezielte Risikoanalyse bestimmt werden. Die Durchführung solcher gezielten Risikoanalysen muss intern abgestimmt werden und erfordert entsprechend Zeit.
Für die Änderung von Richtlinien kann es z.B. sinnvoll sein, Dokumenten-Review-Zyklen zu berücksichtigen. Bei technischen Änderungen ergibt es Sinn, eventuelle Freeze-Perioden oder bereits geplante Release-Zeiträume zu berücksichtigen.
Bei vielen grundlegend neuen Anforderungen im PCI DSS v4.0 ist in den Hinweisen zur Anwendbarkeit vermerkt, dass die Anforderung bis zum 31.03.2025 als Best Practice angesehen wird und erst danach verpflichtend ist.
Anforderungen ohne diesen Hinweis müssen bis zum 31.03.2024 umgesetzt sein und sollten daher ggf. höher priorisiert werden.
Entscheidungen
Für manche neuen Anforderungen gibt es verschiedene Möglichkeiten, sie umzusetzen.
Beispiele dafür sind:
Wägen Sie frühzeitig ab, welche Auswirkungen welcher Weg für Sie hat!
Nachverfolgung und Bewertung
Wenn Sie Ihre Aufgaben zeitlich priorisiert haben und sich für Umsetzungswege entschieden haben: lehnen Sie sich bitte nicht zurück! Die Person oder das Team, welches für die Aufrechterhaltung der PCI DSS-Konformität verantwortlich ist, sollte mit den Teams, die für die Umsetzung verantwortlich sind, in Kontakt bleiben.
Kontinuierlicher Prozess
Wenn eine Anforderung einmal erfüllt ist, ist nicht gewährleistet, dass dies so bleibt. Kartendatennutzung, Technologien und Angriffsvektoren ändern sich. Bereits heute beinhaltet der PCI DSS v3.2.1 regelmäßige Aufgaben zur Aufrechterhaltung der PCI DSS-Konformität. Mit dem PCI DSS v4.0 entwickelt sich dies immer mehr zu einem kontinuierlichen Prozess.
Gewöhnen Sie sich daher bereits jetzt daran, Ihre Maßnahmen immer wieder auf den Prüfstand zu stellen, und die (in Kapitel 7 des PCI DSS jetzt genau definierten) Zeiträume für wiederkehrende Tätigkeiten einzuhalten. So wird Ihnen auch die Einhaltung neuer entsprechender Anforderungen leichter gelingen, wie bspw.
Aber vor allem: Anfangen!
Stellen Sie ein Team zusammen und planen Sie Zeit ein.
Bei Fragen unterstützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.
Karrieretag 2023 – SRC ist wieder dabei!
Der Karrieretag 2023 in Bonn – Die Karrieremesse für Studierende und Berufseinsteiger
Das Ende des Studiums ist ersichtlich. Der Abschluss in greifbarer Nähe. Spätestens jetzt benötigen Studierende und Absolventen Kontakt zu einem potentiellen, zukünftigen Arbeitgeber. SRC freut sich auf diesen Kontakt: Der Karrieretag 2023 in Bonn ist der perfekte erste Einstieg dazu.
Die Jobmesse wird mit vielen Angeboten rund um das Thema Karriere und Karriereplanung abgerundet. Dazu gehören z.B. Vorträge, Workshops, Jobboards und vieles mehr.
Karriere in der IT – SRC gewährt einen Einblick in spannende Aufgabenbereiche
SRC gibt Studierenden und Absolventen auch auf dem Karrieretag 2023 die Möglichkeit, einen Einblick in und den Austausch über die vielfältigen Themenfelder der IT-Sicherheit zu nehmen. Die SRC-Experten erläutern den Alltag und die Herausforderungen bei der Begutachtung sicherheitsrelevanter IT-Technologien. Eine Auswahl aktueller Themen sind z. B. mobile Bezahlmethoden, künstliche Intelligenz und kritische Infrastrukturen. Von unseren neuen Kollegen erwarten wir einen ausgeprägten Instinkt für potenzielle Fehlerquellen in komplexen Technologien, die Kompetenz zur Findung von Lösungen und das Durchsetzungsvermögen, das Ergebnis ihrer Arbeit gegenüber den Auftraggebern zu vertreten.
Aktuelle Stellenangebote auf unserem Karriereportal
Ob als Werkstudierende in unserem Kundenmanagement oder als Scanworker im Pentestteam – vielfältige und spannende Aufgaben neben dem Studium erledigen ist bei uns kein Problem. Aber auch Absolventen kommen bei uns auf ihre Kosten – Wir suchen Pentester, Beratende und Analytiker/innen für verschiedene Bereiche in unserem Unternehmen.
Gerne können sich Studierende und Absolventen bereits vorab auf unserem Karriereportal über offene Stellenangebote in unserem Unternehmen informieren. Wir stehen gerne für Rückfragen am Unternehmenstag zur Verfügung! Außerdem besteht die Möglichkeit, uns Bewerbungsunterlagen direkt vor Ort zu überreichen.
Mehr Informationen zum Karrieretag 2023 in Bonn gibt es hier.
PCI DSS v4.0 rückt näher – wir unterstützen Sie bei der Vorbereitung
Der PCI DSS ist ein ausgereifter Standard, der Anforderungen an die sichere Verarbeitung von Kartendaten der internationalen Zahlungssysteme definiert.
Die Version 3 des PCI DSS, die – mit verschiedenen Updates – seit 2014 gültig ist, läuft Ende März 2024 endgültig aus und wird durch die neue Version 4.0 ersetzt.
Wir gehen mit Ihnen die letzten Schritte zur Migration auf PCI DSS v4.0.
Nutzen Sie gerne unsere Angebote:
1. Monatliche Blog-Artikel, in denen jeweils ein Thema des PCI DSS v4.0 genauer beleuchtet wird.
2. Kostenlose Webinare, welche die Änderungen von PCI DSS v3.2.1 auf v4.0 noch einmal für Sie zusammenfassen.
Sobald die genauen Termine feststehen und die Anmeldung freigeschaltet ist, finden Sie die entsprechenden Links hier:
3. Auf Sie zugeschnittene PCI DSS v4.0‑Workshops, in dem wir die für Sie relevanten Anforderungen gezielt vorstellen und diskutieren.
4. Eine Gap-Analyse für Ihre Umgebungen und Prozesse. Sie erhalten eine Liste aller in Ihrem Unternehmen noch offenen Punkte für die PCI DSS v4.0‑Konformität.
5. Beratungspakete nach Wahl, von denen Sie jederzeit Kontingente abrufen können, wenn Sie konkrete Rückfragen haben – per Telefon, E‑Mail, Webkonferenz, oder in Meetings vor Ort.
Kontakt: Frau Jana Ehlers per E‑Mail
Informationworkshop für Lösungsanbieter von E‑Voting-Systemen – Zertifizierung nach CC Schutzprofil BSI-CC-PP-0121
Zur Bewertung von E‑Voting Lösungen für nicht-politische Online-Wahlen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im April 2023 eine Reihe von Technischen Richtlinien sowie ein Common Criteria Schutzprofil für E‑Voting Systeme [PP-0121] herausgegeben. Darin wird insbesondere festgelegt, dass konforme Produkte der Prüftiefe EAL4 + ALC_FLR.2 genügen müssen.
E‑Voting Systeme: Maximale Sicherheit und Wachstumspotenzial dank BSI-Zertifizierung
Lösungsanbieter stehen damit vor der strategischen Frage, ob sie ihre Lösung nach dem Common Criteria Schutzprofil BSI-CC-PP-0121 zertifizieren lassen wollen. Dem erhöhten Entwicklungs- und Zertifizierungsaufwand steht ein wachsender kommerzieller Markt gegenüber.
Strategische Entscheidung: Ihr Erfolg auf dem wachsenden E‑Voting Markt
Um die Frage zu beantworten, ob ein E‑Voting Hersteller für seine Lösung ein CC-Zertifizierungsverfahren anstreben sollte, bietet SRC in Zusammenarbeit mit der Alter Solutions Deutschland GmbH einen Workshop an. Alter Solutions hat maßgeblich an der vom BSI durchgeführten und veröffentlichten Studie zur Markt- und Sicherheitsanalyse von Online-Wahlprodukten federführend mitgewirkt. SRC als akkreditierte Prüfstelle für Common Criteria berichtet über die Erfahrung aus vergleichbaren Markteinführungen und Zulassungsverfahren.
Die erfolgreiche Route zur CC-Zertifizierung
Im Rahmen des Workshops werden folgende Schwerpunkte bearbeitet:
Profitieren Sie von unserem Angebot!
SRC bietet den geplanten Workshop mit einer Dauer von 1,5 Tagen an. Die Kosten dafür betragen 4.000 Euro (zzgl. Umsatzsteuer und ggfs. Reisekosten). Der Workshop kann in Präsenz oder hybrid stattfinden. Die Kosten werden zur Hälfte erstattet, wenn innerhalb von drei Monaten nach dem Workshop eine Evaluation mit Hilfe der SRC gestartet wird.
SRC – Ihr anerkannter Experte für Sicherheitsprüfungen
Mit einer Erfahrung von mehr als 20 Jahren ist die SRC beim BSI als führendes Prüflabor für Sicherheitsuntersuchungen gemäß den internationalen Common Criteria (ISO 15408) anerkannt. Doch das ist nicht alles: Wir sind auch anerkannte Gutachter für Zahlungsverkehrskomponenten bei internationalen Zahlungssystemen und Internet-basierten Zahlverfahren in der Payment Card Industry (PCI). Vertrauen Sie auf unsere umfangreiche Expertise und lassen Sie sich von uns auf Ihrem Weg zur Zertifizierung begleiten.
Interessiert oder noch Fragen?
Sollten Sie Interesse an der Durchführung eines solchen Workshops oder weitere Fragen haben, dann wenden Sie sich bitte an
Herrn Ho-Yeon Kim
Tel.: 0228 2806-139
Mobil: 0179–9478336
E‑Mail: ho-yeon.kim@src-gmbh.de
Web: www.src-gmbh.de