Nachweise im PCI DSS-Audit
In dieser Folge unsere PCI DSS v4.0‑Blogs erläutern wir, welche Pflichten Auditoren beim Nachweis ihrer Audit-Ergebnisse haben, und wie Sie am besten die Erbringung angemessener Nachweise für PCI DSS v4.0‑Audits vorbereiten.
Auditprozess
Im Laufe eines PCI DSS-Assessments (oder, wie wir im Deutschen häufig sagen, ‑Audits) prüfen Auditoren, inwieweit die PCI DSS-Anforderungen bei einem Unternehmen umgesetzt sind.
Üblicherweise beinhaltet ein Auditprozess die folgenden Prüfschritte:
- Review von Dokumenten,
- Review von Systemkomponenten/-einstellungen,
- Review von Prozessen,
- Review von physischen Gegebenheiten,
- Review von Protokollen/Ergebnissen, und
- Interviews mit Personal.
Dies ändert sich auch nicht mit der Migration auf PCI DSS v4.0.
Nachweispflichten
Welche Notizen eine Auditorin sich macht und welche Nachweise sie wie ablegt, bleibt für die auditierte Firma normalerweise im Verborgenen. Wir geben Ihnen hier einen kleinen Einblick, was sich dort mit PCI DSS v4.0 verändert.
Das PCI SSC hat mit dem neuen Reporting Template für PCI DSS v4.0 sowie mit einem Update des PCI DSS Program Guide für QSAs jetzt klargestellt, dass sie für jeden Prüfschritt fordern, dass der Auditor einen entsprechenden Nachweis abgelegt. Die prüft das PCI SSC auch stichprobenartig bei den Auditfirmen.
Für Dokumente ist dies einfach: der Nachweis ist das jeweilige Dokumente selbst. Ähnlich ist es bei Protokollen/Ergebnissen – hier muss nur darauf geachtet werden, dass klar ist, um welches System oder welchen Prozess es hier geht.
Falls Sie einem Auditor einen Screenshot oder eine Datei als Nachweis schicken, achten Sie daher bitte darauf, die Information mitzuliefern, um welche Systemkomponente und/oder welche Prozess es geht.
Beim Review von Systemkomponenten/-einstellungen ist es notwendig, dass der Auditor sich dedizierte Notizen zu dem jeweiligen System und der jeweiligen Einstellung macht.
Beim Review von Prozessen oder physischen Gegebenheiten muss die jeweilige Gegebenheit detailliert beschrieben werden, und es muss dargestellt werden, welche Schlüsse die Auditorin aus der Beobachtung zieht. In ähnlicher Form wird auch bei einem Interview erwartet, dass die Auditorin grob die Fragen und Antworten mitschreibt.
Geben Sie bitte dem Auditor im Audit genügend Zeit, sich entsprechende Notizen zu machen. An vielen Stellen kann es die Schreibarbeit verkürzen, wenn der Auditor Kopien oder Screenshots bereitgestellt bekommt oder Fotos machen darf.
Der PCI DSS v4.0 listet etwa 250 Unterpunkte zu den 12 Haupt-Anforderungen auf – entsprechend viele Nachweise benötigt der Auditor.
Aufbewahrungspflichten
Der PCI DSS Program Guide schreibt vor, dass alle oben genannten Nachweise von der Auditfirma für mindestens drei Jahre sicher aufbewahrt werden müssen und auf Anfrage dem PCI SSC und den zugehörigen Gesellschaften verfügbar gemacht werden müssen.
Aus Datenschutz- oder Vertraulichkeitsgründen kommt es vor, dass Unternehmen es für einzelne Nachweise nicht erlauben, dass die Auditorin sie mitnehmen und ablegen darf. In diesem Fall regelt das PCI SSC, dass die Ablage stattdessen bei dem auditierten Unternehmen erfolgen darf. Die Anforderungen an Aufbewahrungsfrist und Verfügbarkeit sind in diesem Fall die gleichen.
Da die Nachweispflichten mit PCI DSS v4.0 größer geworden sind, wird auch dieser Fall in Zukunft häufiger vorkommen.
Wenn Sie erwarten, dass nicht alle Nachweise an den Auditor weitergegeben werden dürfen, bereiten Sie sich als auditiertes Unternehmen am besten vor, indem Sie
- eine revisionssichere Aufbewahrung der Nachweise für mindestens drei Jahre vorbereiten,
- während des Audits eine Liste der nicht ausgehändigten Dokumente und Nachweise führen,
- eine schriftliche Bescheinigung für den Auditor vorbereiten, in der Sie
- den Aufbewahrungsort benennen,
- den Ansprechpartner benennen, an den das PCI SSC sich wenden kann, wenn es Nachweise einsehen möchte, und
- eine revisionssichere Aufbewahrung bis zu einem konkret benannten Datum, welches mindestens drei Jahre in der Zukunft liegt, bestätigen.
Umgang mit Abweichungen
Wie sieht es mit den Nachweisen aus, wenn im Audit nicht sofort die Erfüllung aller Anforderungen nachgewiesen werden konnte, sondern Abweichungen festgestellt wurden?
Geplante Abweichungen
Der einfachste Fall ist es, wenn Sie als auditiertes Unternehmen bereits vorab erkannt haben, dass Sie eine Anforderung nicht erfüllen können oder nicht auf dem vorgegebenen Weg erfüllen möchten. In diesem Fall haben Sie zum Audit bereits eine Dokumentation einer Compensating Control oder eines Customized Approaches vorbereitet. Hierbei kann Ihnen auch ein PCI DSS-Experte helfen – es darf nur nicht der gleiche sein, der die Umsetzung dann auch prüft.
Zum Customized Approach werden wir in einer späteren Folge unseres PCI DSS v4.0‑Blogs noch ausführlich Stellung nehmen.
In beiden Fällen wird die Auditorin die Nachweise der Compensating Control oder des Customized Approaches Ihres Unternehmens prüfen, ggf. Rückfragen stellen, und dann geeignete Prüfmethoden ableiten und durchführen. Die Pflichten zum Erheben von Nachweisen ergeben sich dabei aus der jeweiligen Prüfmethode.
Ungeplante Abweichungen – „INFI“
Treten während eines Auditzeitraums ungeplante Abweichungen von den PCI DSS-Anforderungen auf, müssen diese behoben werden und die Behebung durch den Auditor verifiziert werden. Dies war bereits unter PCI DSS v3.2.1 so.
Der PCI DSS v4.0 verlangt zusätzlich explizit, dass der Grund für das Auftreten der Abweichung identifiziert wird, und dass Prozesse implementiert sind, die ein erneutes Auftreten solch einer Abweichung verhindern. Nur in dem Fall kann der Auditor die Anforderung noch als erfüllt ansehen.
Im neuen „Items Noted For Improvement” (INFI)-Dokument müssen bei jedem PCI DSS v4.0‑Audit alle Abweichungen, ihre Gründe, die korrektiven und präventiven Maßnahmen dokumentiert werden.
Die Auditorin stellt dem auditierten Unternehmen zum Abschluss des Audits das INFI-Dokument zur Verfügung, und beide Parteien unterschreiben es. Das INFI-Dokument belegt, dass das auditierte Unternehmen die Abweichungen erfolgreich bewältigt hat. Das Dokument kann im auditierten Unternehmen intern verwendet werden – bspw. in Compliance- und Risiko-Abteilungen – und auf dessen Wunsch auch mit Dritten geteilt werden. Eine Verpflichtung zur Vorlage des INFI-Dokuments gibt es nicht, und es wird auch nicht in der Attestation of Compliance (AoC) referenziert.
Gerade bei regelmäßig zu wiederholenden Prozessen kommt es immer mal wieder dazu, dass sich eine Durchführung verspätet, z.B. bei der Durchführung von
- Security-Awareness-Trainings,
- der Inspektion von Zahlgeräten,
- Schwachstellenscans, oder
- dem Einspielen von Patches.
Überlegen Sie sich am besten bereits im Vorfeld, wie Sie Ihre Prozesse so gestalten, dass Sie die vorgeschriebenen Zeiträume einhalten und Verspätungen sofort bemerken.