Nachweise im PCI DSS-Audit

Unser Oktober-Blog-Eintrag zu PCI DSS v4.0

Nachweise im PCI DSS-Audit

In dieser Folge unsere PCI DSS v4.0‑Blogs erläutern wir, welche Pflichten Auditoren beim Nachweis ihrer Audit-Ergeb­nisse haben, und wie Sie am besten die Erbringung angemes­sener Nachweise für PCI DSS v4.0‑Audits vorbereiten.

Audit­prozess

Im Laufe eines PCI DSS-Assess­ments (oder, wie wir im Deutschen häufig sagen, ‑Audits) prüfen Auditoren, inwieweit die PCI DSS-Anfor­de­rungen bei einem Unter­nehmen umgesetzt sind.

Üblicher­weise beinhaltet ein Audit­prozess die folgenden Prüfschritte:

  • Review von Dokumenten,
  • Review von System­kom­po­nenten/-einstel­lungen,
  • Review von Prozessen,
  • Review von physi­schen Gegeben­heiten, 
  • Review von Protokollen/Ergebnissen, und
  • Inter­views mit Personal.

Dies ändert sich auch nicht mit der Migration auf PCI DSS v4.0.

Nachweis­pflichten

Welche Notizen eine Auditorin sich macht und welche Nachweise sie wie ablegt, bleibt für die auditierte Firma norma­ler­weise im Verbor­genen. Wir geben Ihnen hier einen kleinen Einblick, was sich dort mit PCI DSS v4.0 verändert.

Das PCI SSC hat mit dem neuen Reporting Template für PCI DSS v4.0 sowie mit einem Update des PCI DSS Program Guide für QSAs jetzt klarge­stellt, dass sie für jeden Prüfschritt fordern, dass der Auditor einen entspre­chenden Nachweis abgelegt. Die prüft das PCI SSC auch stich­pro­ben­artig bei den Auditfirmen.

Für Dokumente ist dies einfach: der Nachweis ist das jeweilige Dokumente selbst. Ähnlich ist es bei Protokollen/Ergebnissen – hier muss nur darauf geachtet werden, dass klar ist, um welches System oder welchen Prozess es hier geht.

 Falls Sie einem Auditor einen Screenshot oder eine Datei als Nachweis schicken, achten Sie daher bitte darauf, die Infor­mation mitzu­liefern, um welche System­kom­po­nente und/oder welche Prozess es geht.

Beim Review von System­kom­po­nenten/-einstel­lungen ist es notwendig, dass der Auditor sich dedizierte Notizen zu dem jewei­ligen System und der jewei­ligen Einstellung macht.

Beim Review von Prozessen oder physi­schen Gegeben­heiten muss die jeweilige Gegebenheit detail­liert beschrieben werden, und es muss darge­stellt werden, welche Schlüsse die Auditorin aus der Beobachtung zieht. In ähnlicher Form wird auch bei einem Interview erwartet, dass die Auditorin grob die Fragen und Antworten mitschreibt.

Geben Sie bitte dem Auditor im Audit genügend Zeit, sich entspre­chende Notizen zu machen. An vielen Stellen kann es die Schreib­arbeit verkürzen, wenn der Auditor Kopien oder Screen­shots bereit­ge­stellt bekommt oder Fotos machen darf.

Der PCI DSS v4.0 listet etwa 250 Unter­punkte zu den 12 Haupt-Anfor­de­rungen auf – entspre­chend viele Nachweise benötigt der Auditor.

Aufbe­wah­rungs­pflichten

Der PCI DSS Program Guide schreibt vor, dass alle oben genannten Nachweise von der Audit­firma für mindestens drei Jahre sicher aufbe­wahrt werden müssen und auf Anfrage dem PCI SSC und den zugehö­rigen Gesell­schaften verfügbar gemacht werden müssen.

Aus Daten­schutz- oder Vertrau­lich­keits­gründen kommt es vor, dass Unter­nehmen es für einzelne Nachweise nicht erlauben, dass die Auditorin sie mitnehmen und ablegen darf. In diesem Fall regelt das PCI SSC, dass die Ablage statt­dessen bei dem auditierten Unter­nehmen erfolgen darf. Die Anfor­de­rungen an Aufbe­wah­rungs­frist und Verfüg­barkeit sind in diesem Fall die gleichen.

Da die Nachweis­pflichten mit PCI DSS v4.0 größer geworden sind, wird auch dieser Fall in Zukunft häufiger vorkommen.

Wenn Sie erwarten, dass nicht alle Nachweise an den Auditor weiter­ge­geben werden dürfen, bereiten Sie sich als auditiertes Unter­nehmen am besten vor, indem Sie

  • eine revisi­ons­si­chere Aufbe­wahrung der Nachweise für mindestens drei Jahre vorbereiten,
  • während des Audits eine Liste der nicht ausge­hän­digten Dokumente und Nachweise führen,
  • eine schrift­liche Beschei­nigung für den Auditor vorbe­reiten, in der Sie 
    • den Aufbe­wah­rungsort benennen,
    • den Ansprech­partner benennen, an den das PCI SSC sich wenden kann, wenn es Nachweise einsehen möchte, und
    • eine revisi­ons­si­chere Aufbe­wahrung bis zu einem konkret benannten Datum, welches mindestens drei Jahre in der Zukunft liegt, bestätigen.

Umgang mit Abweichungen

Wie sieht es mit den Nachweisen aus, wenn im Audit nicht sofort die Erfüllung aller Anfor­de­rungen nachge­wiesen werden konnte, sondern Abwei­chungen festge­stellt wurden?

Geplante Abwei­chungen

Der einfachste Fall ist es, wenn Sie als auditiertes Unter­nehmen bereits vorab erkannt haben, dass Sie eine Anfor­derung nicht erfüllen können oder nicht auf dem vorge­ge­benen Weg erfüllen möchten. In diesem Fall haben Sie zum Audit bereits eine Dokumen­tation einer Compen­sating Control oder eines Custo­mized Approaches vorbe­reitet. Hierbei kann Ihnen auch ein PCI DSS-Experte helfen – es darf nur nicht der gleiche sein, der die Umsetzung dann auch prüft.

 Zum Custo­mized Approach werden wir in einer späteren Folge unseres PCI DSS v4.0‑Blogs noch ausführlich Stellung nehmen.

In beiden Fällen wird die Auditorin die Nachweise der Compen­sating Control oder des Custo­mized Approaches Ihres Unter­nehmens prüfen, ggf. Rückfragen stellen, und dann geeignete Prüfme­thoden ableiten und durch­führen. Die Pflichten zum Erheben von Nachweisen ergeben sich dabei aus der jewei­ligen Prüfmethode.

Ungeplante Abwei­chungen – „INFI“

Treten während eines Audit­zeit­raums ungeplante Abwei­chungen von den PCI DSS-Anfor­de­rungen auf, müssen diese behoben werden und die Behebung durch den Auditor verifi­ziert werden. Dies war bereits unter PCI DSS v3.2.1 so.

Der PCI DSS v4.0 verlangt zusätzlich explizit, dass der Grund für das Auftreten der Abwei­chung identi­fi­ziert wird, und dass Prozesse imple­men­tiert sind, die ein erneutes Auftreten solch einer Abwei­chung verhindern. Nur in dem Fall kann der Auditor die Anfor­derung noch als erfüllt ansehen.

Im neuen „Items Noted For Impro­vement” (INFI)-Dokument müssen bei jedem PCI DSS v4.0‑Audit alle Abwei­chungen, ihre Gründe, die korrek­tiven und präven­tiven Maßnahmen dokumen­tiert werden.

Die Auditorin stellt dem auditierten Unter­nehmen zum Abschluss des Audits das INFI-Dokument zur Verfügung, und beide Parteien unter­schreiben es. Das INFI-Dokument belegt, dass das auditierte Unter­nehmen die Abwei­chungen erfolg­reich bewältigt hat. Das Dokument kann im auditierten Unter­nehmen intern verwendet werden – bspw. in Compliance- und Risiko-Abtei­lungen – und auf dessen Wunsch auch mit Dritten geteilt werden. Eine Verpflichtung zur Vorlage des INFI-Dokuments gibt es nicht, und es wird auch nicht in der Attestation of Compliance (AoC) referenziert.

 Gerade bei regel­mäßig zu wieder­ho­lenden Prozessen kommt es immer mal wieder dazu, dass sich eine Durch­führung verspätet, z.B. bei der Durch­führung von 

  • Security-Awareness-Trainings,
  • der Inspektion von Zahlgeräten,
  • Schwach­stel­len­scans, oder
  • dem Einspielen von Patches.

Überlegen Sie sich am besten bereits im Vorfeld, wie Sie Ihre Prozesse so gestalten, dass Sie die vorge­schrie­benen Zeiträume einhalten und Verspä­tungen sofort bemerken.

Bei Fragen unter­stützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.