Unser November-Blog-Eintrag zu PCI DSS v4.0: Rollen und Verantwortlichkeiten

Neue Unter­an­for­derung in allen Requirements

In PCI DSS Version 4.0 wurde eine neue Unter­an­for­derung in die Anfor­de­rungen 1 bis 11 aufge­nommen, die die Notwen­digkeit betont, Rollen und Verant­wort­lich­keiten bei der Ausführung der jewei­ligen Anfor­derung x zu dokumen­tieren, zuzuweisen und zu verstehen (entspre­chende Unter­an­for­derung x.1.2).

Viele Firmen fragen sich, wie solch eine Zuweisung von Rollen und Verant­wort­lich­keiten aussehen kann. Muss ein neues Dokument erstellt werden? Muss dies firmen­über­greifend gelten?

Der PCI DSS lässt die Form der Dokumen­tation bewusst offen. Das Ziel ist es, dass das Personal sich seiner Verant­wort­lich­keiten bewusst ist, damit die Aktivi­täten zuver­lässig durch­ge­führt werden.

  • Fast jedem PCI DSS-Assessor ist es schon mal begegnet, dass Schwach­stel­len­scans nicht pünktlich jedes Vierteljahr durch­ge­führt wurden, weil es einfach übersehen wurde – hier hilft eine klar zugewiesene Verant­wort­lichkeit für die Einhaltung des Vierteljahres-Rhythmus.
  • Fast jeder PCI DSS-Asses­sorin ist schon einmal Kassen­per­sonal begegnet, dem nicht bewusst war, dass sie Zahlter­minals auf Verdacht auf Manipu­lation oder Austausch überprüfen müssen. Auch diese Verant­wort­lichkeit sollte klar benannt werden – ebenso die der Rolle, die das Kassen­per­sonal dafür schult.

Wie kann die Zuweisung der Verant­wort­lich­keiten also praktisch aussehen?

Nutzung bestehender Dokumentation

In vielen Firmen sind bereits Rollen und Verant­wort­lich­keiten in bestehenden Richt­linien und Verfah­rens­an­wei­sungen enthalten.

  • Ist bspw. in der Software­ent­wick­lungs­richt­linie bereits enthalten, wer den Code entwi­ckelt, wer den Code-Review durch­führt, wer Tests durch­führt und wer die Freigabe für den Rollout als Teil des Prozesses gibt? Und ist in Inter­views allen Betei­ligten diese Rollen­zu­weisung klar? Dann muss hier im Bereich Software­ent­wicklung nichts mehr ergänzt werden.

Ist aber noch keine derartige Dokumen­tation vorhanden, sollte sie erstellt werden. Ob die Zuweisung dabei im bestehenden Dokument ergänzt wird, oder ab man ein zusätz­liches Dokument erstellt, ist dabei unerheblich.

Form der Darstellung

Auch die Form der Darstellung ist frei wählbar. Natürlich bietet sich eine RACI-Matrix oder eine Variante davon an. Aber auch andere Tabellen, Listen oder Fließ­texte können den Zweck erfüllen.

Bei großen Teams mit gleich­ar­tigen Aufgaben reicht dabei oft eine Zuweisung wie „das Personal ist für die Durch­führung von Aktivität X zuständig, der Teamleiter ist für die Schulung des Personals bei Einstellung, bei Aufga­ben­wechsel und im jährlichen Rhythmus sowie für die Freigabe der Ergeb­nisse zuständig“ – bei durch­mischten Teams mit vielfäl­tigen Aufgaben muss die Zuweisung ggf. bis auf einzelne Personen runter­ge­brochen werden.

Anlehnung an die operative Umsetzung 

Bleiben Sie nicht zu nah an der Requi­rement-Aufteilung des PCI DSS – übersetzen Sie, wie Sie die Einhaltung sicher­heits­re­le­vanter Prozesse in Ihrem eigenen opera­tiven Geschäft umsetzen. Häufig sind an der Umsetzung einer Anfor­derung mehrere Rollen beteiligt – eine schreibt ggf. die Regeln auf, eine andere Rolle hält die Regeln bei der Umsetzung ein, wieder eine andere Rolle macht einen Review und/oder eine Freigabe des Umgesetzten. Wenn Sie die Schritte aufschreiben, wie Sie etwas durch­führen, lässt sich gut zuordnen, wer für die jeweilige Tätigkeit zuständig ist.

Akzeptanz der Verantwortlichkeit

Die Zuweisung sollte natürlich nicht nur dokumen­tiert sein, sondern den Personen auch bekannt sein. Entspre­chend sollte ein neues oder angepasstes Dokument im Kreis der Betrof­fenen vorge­stellt werden.

Müssen die Personen unter­schreiben, dass Ihnen ihre Verant­wortung bewusst ist? In einer anderen Anfor­derung des PCI DSS v4.0, Anfor­derung 12.1.3, wird tatsächlich eine schrift­liche Anerkennung der allge­meinen Verant­wortung für die Infor­ma­ti­ons­si­cherheit gefordert. Eine entspre­chende dokumen­tierte Anerkennung der spezi­fi­schen Verant­wort­lich­keiten der jewei­ligen Rolle wird in Anfor­derung x.1.2 nicht zwingend gefordert – man kann diese beiden Punkte, wenn man möchte, aber natürlich mitein­ander verbinden, indem man nicht nur eine generische, sondern auch rollen­spe­zi­fische Verant­wort­lich­keiten abzeichnen lässt. Diese Kombi­nation ist jedoch nicht vorgeschrieben.

Zusam­men­fassung

Was sollte also am Ende der Überle­gungen mindestens stehen?

  • Die Dokumen­tation der Rollen und Verant­wort­lich­keiten für die verschie­denen Aufgaben im opera­tiven Geschäft bei der Absicherung der Arbeit mit Zahlkar­ten­daten, und
  • Personal, das sich seiner Rollen, Verant­wort­lich­keiten und Aufgaben bewusst ist und dies in Inter­views bestä­tigen kann. 

Auf diese Weise sollte die Einhaltung der Unter­an­for­de­rungen x.1.2 machbar sein.