Schlagwortarchiv für: Zahlungsverkehr

Unser November-Blog-Eintrag zu PCI DSS v4.0: Rollen und Verantwortlichkeiten

Neue Unter­an­for­derung in allen Requirements

In PCI DSS Version 4.0 wurde eine neue Unter­an­for­derung in die Anfor­de­rungen 1 bis 11 aufge­nommen, die die Notwen­digkeit betont, Rollen und Verant­wort­lich­keiten bei der Ausführung der jewei­ligen Anfor­derung x zu dokumen­tieren, zuzuweisen und zu verstehen (entspre­chende Unter­an­for­derung x.1.2).

Viele Firmen fragen sich, wie solch eine Zuweisung von Rollen und Verant­wort­lich­keiten aussehen kann. Muss ein neues Dokument erstellt werden? Muss dies firmen­über­greifend gelten?

Der PCI DSS lässt die Form der Dokumen­tation bewusst offen. Das Ziel ist es, dass das Personal sich seiner Verant­wort­lich­keiten bewusst ist, damit die Aktivi­täten zuver­lässig durch­ge­führt werden.

  • Fast jedem PCI DSS-Assessor ist es schon mal begegnet, dass Schwach­stel­len­scans nicht pünktlich jedes Vierteljahr durch­ge­führt wurden, weil es einfach übersehen wurde – hier hilft eine klar zugewiesene Verant­wort­lichkeit für die Einhaltung des Vierteljahres-Rhythmus.
  • Fast jeder PCI DSS-Asses­sorin ist schon einmal Kassen­per­sonal begegnet, dem nicht bewusst war, dass sie Zahlter­minals auf Verdacht auf Manipu­lation oder Austausch überprüfen müssen. Auch diese Verant­wort­lichkeit sollte klar benannt werden – ebenso die der Rolle, die das Kassen­per­sonal dafür schult.

Wie kann die Zuweisung der Verant­wort­lich­keiten also praktisch aussehen?

Nutzung bestehender Dokumentation

In vielen Firmen sind bereits Rollen und Verant­wort­lich­keiten in bestehenden Richt­linien und Verfah­rens­an­wei­sungen enthalten.

  • Ist bspw. in der Software­ent­wick­lungs­richt­linie bereits enthalten, wer den Code entwi­ckelt, wer den Code-Review durch­führt, wer Tests durch­führt und wer die Freigabe für den Rollout als Teil des Prozesses gibt? Und ist in Inter­views allen Betei­ligten diese Rollen­zu­weisung klar? Dann muss hier im Bereich Software­ent­wicklung nichts mehr ergänzt werden.

Ist aber noch keine derartige Dokumen­tation vorhanden, sollte sie erstellt werden. Ob die Zuweisung dabei im bestehenden Dokument ergänzt wird, oder ab man ein zusätz­liches Dokument erstellt, ist dabei unerheblich.

Form der Darstellung

Auch die Form der Darstellung ist frei wählbar. Natürlich bietet sich eine RACI-Matrix oder eine Variante davon an. Aber auch andere Tabellen, Listen oder Fließ­texte können den Zweck erfüllen.

Bei großen Teams mit gleich­ar­tigen Aufgaben reicht dabei oft eine Zuweisung wie „das Personal ist für die Durch­führung von Aktivität X zuständig, der Teamleiter ist für die Schulung des Personals bei Einstellung, bei Aufga­ben­wechsel und im jährlichen Rhythmus sowie für die Freigabe der Ergeb­nisse zuständig“ – bei durch­mischten Teams mit vielfäl­tigen Aufgaben muss die Zuweisung ggf. bis auf einzelne Personen runter­ge­brochen werden.

Anlehnung an die operative Umsetzung 

Bleiben Sie nicht zu nah an der Requi­rement-Aufteilung des PCI DSS – übersetzen Sie, wie Sie die Einhaltung sicher­heits­re­le­vanter Prozesse in Ihrem eigenen opera­tiven Geschäft umsetzen. Häufig sind an der Umsetzung einer Anfor­derung mehrere Rollen beteiligt – eine schreibt ggf. die Regeln auf, eine andere Rolle hält die Regeln bei der Umsetzung ein, wieder eine andere Rolle macht einen Review und/oder eine Freigabe des Umgesetzten. Wenn Sie die Schritte aufschreiben, wie Sie etwas durch­führen, lässt sich gut zuordnen, wer für die jeweilige Tätigkeit zuständig ist.

Akzeptanz der Verantwortlichkeit

Die Zuweisung sollte natürlich nicht nur dokumen­tiert sein, sondern den Personen auch bekannt sein. Entspre­chend sollte ein neues oder angepasstes Dokument im Kreis der Betrof­fenen vorge­stellt werden.

Müssen die Personen unter­schreiben, dass Ihnen ihre Verant­wortung bewusst ist? In einer anderen Anfor­derung des PCI DSS v4.0, Anfor­derung 12.1.3, wird tatsächlich eine schrift­liche Anerkennung der allge­meinen Verant­wortung für die Infor­ma­ti­ons­si­cherheit gefordert. Eine entspre­chende dokumen­tierte Anerkennung der spezi­fi­schen Verant­wort­lich­keiten der jewei­ligen Rolle wird in Anfor­derung x.1.2 nicht zwingend gefordert – man kann diese beiden Punkte, wenn man möchte, aber natürlich mitein­ander verbinden, indem man nicht nur eine generische, sondern auch rollen­spe­zi­fische Verant­wort­lich­keiten abzeichnen lässt. Diese Kombi­nation ist jedoch nicht vorgeschrieben.

Zusam­men­fassung

Was sollte also am Ende der Überle­gungen mindestens stehen?

  • Die Dokumen­tation der Rollen und Verant­wort­lich­keiten für die verschie­denen Aufgaben im opera­tiven Geschäft bei der Absicherung der Arbeit mit Zahlkar­ten­daten, und
  • Personal, das sich seiner Rollen, Verant­wort­lich­keiten und Aufgaben bewusst ist und dies in Inter­views bestä­tigen kann. 

Auf diese Weise sollte die Einhaltung der Unter­an­for­de­rungen x.1.2 machbar sein.

20 Jahre SRC

20 Jahre SRC

Vor 20 Jahren, am 27. November 2000 fand die Gründungs­ver­sammlung der Gesell­schafter der SRC statt. Das ist eine lange Zeit, aber in der Rückschau betrachtet kommt es den handelnden Personen nicht so vor. Diese Wahrnehmung ist natürlich subjektiv, aber ein entschei­dender Faktor hierfür wird sicherlich die rasante Entwicklung im Bereich der Infor­ma­ti­ons­technik sein.

Die Komple­xität der Digita­li­sierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäfts­grundlage von SRC, der wesent­liche Grund, warum es SRC gibt. Gleich­zeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrau­ens­würdig sind.

Anschaulich lässt sich die Arbeit der SRC an solchen Dingen erläutern, die viele Menschen im täglichen Leben erleben. Dies sind allem voran das kontaktlose Bezahlen mit Karte und Handy, der sichere Zugriff auf Bankkonten durch Dritte, die elektro­nische Patien­tenakte, die sichere Kommu­ni­kation im Zusam­menhang mit dem Galileo-System und in der Bundeswehr oder auch ganz „profane“ Dinge wie Flaschen­pfand­au­to­maten oder manipu­la­ti­ons­si­chere Regis­trier­kassen – alles Themen der Digita­li­sierung, mit denen Tag für Tag Millionen Menschen in der ein oder anderen Art in Berührung kommen. Die Entwicklung ist damit nicht zu Ende, mit Open Finance, IoT und der verstärkten Nutzung von KI-Methoden stehen noch viele spannende Themen an.

Keine dieser Lösungen wurde von SRC selbst herge­stellt oder wird von SRC betrieben, aber wir haben bei allen einen ganz entschei­denden Beitrag geleistet: Wir sorgen für Vertrauen in diese digitale Lösungen – für Zuver­läs­sigkeit, Sicherheit und Zukunfts­si­cherheit. Wir schaffen „ein gutes Gefühl“ im Umgang mit der Digitalisierung:

  • Standards für neue Techno­logien schaffen Investitionssicherheit,
  • Zuver­lässige Funktio­na­lität neuer Lösungen durch Testen
  • Technische Sicherheit neuer Lösungen durch Sicher­heits­kon­zepte und –prüfungen.

Tatsächlich ist es so, dass dieses „gute Gefühl“, das Vertrauen, so etwas wie der Schmier­stoff der Digita­li­sierung ist. Denn mit der Digita­li­sierung und Techni­sierung des Alltags geht für viele Menschen einher, dass Prozesse nicht mehr überschaubar sind und der Wahrheits­gehalt von Infor­ma­tionen manchmal unklar ist. Vertrauen ermög­licht es, diese Komple­xität zu reduzieren und eröffnet häufig erst die Akzeptanz der mit der Digita­li­sierung angestrebten neuen Möglich­keiten des Erlebens und Handelns.

Die Komple­xität der Digita­li­sierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäfts­grundlage von SRC, der wesent­liche Grund, warum es SRC gibt. Gleich­zeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrau­ens­würdig sind.

In den 20 Jahren seit Bestehen der SRC haben wir mehr als 20.000 Projekte durch­ge­führt. Jedes Jahr wurden es mehr und auch SRC ist Jahr für Jahr gewachsen – nicht nur bezüglich der Anzahl der Mitar­beiter, sondern ganz besonders bei der Erwei­terung der Expertise, teilweise auf Gebieten, die es zum Zeitpunkt der Gründung der SRC noch nicht gab.

Die gegen­wärtige Pandemie-Situation erlaubt es nicht, das 20jährige Bestehen angemessen feiern zu können, was wir gerne gemeinsam mit unseren Kunden gemacht hätten. Wir denken darüber nach, dies zu einem geeig­neten Zeitpunkt nachzu­holen. Aber auch ohne Party würden wir uns freuen, wenn Sie uns als unsere Kunden auch weiterhin Ihr Vertrauen schenken.

EPayStandards Konsortium

Frenchsys, Elitt und SRC gründen das EPayStan­dards Konsortium

Gemeinsam mit den franzö­si­schen Partnern Frenchsys und Elitt gründet SRC das EPayStan­dards Konsortium, eine Koope­ration zum Ausbau der Beratung und Unter­stützung inter­na­tio­naler Kunden im europäi­schen Zahlungsverkehr.

Als Tochter­un­ter­nehmen von Cartes Bancaires unter­stützt Frenchsys maßgeblich die techni­schen und funktio­nalen Spezi­fi­ka­tionen, so wie die Integration im franzö­si­schen Acquirermarkt.

Elitt hat den Schwer­punkt seiner Tätigkeit in der Entwicklung von Testfall­ka­ta­logen und Testtools für Terminals. Außerdem steht Elitt für innovative Zahlungslösungen.

SRC unter­stützt Entwicklung und Pflege des deutschen girocard-Systems. Dazu gehören die Erstellung funktio­naler und sicher­heits­tech­ni­scher Spezi­fi­ka­tionen für alle betei­ligten System­kom­po­nenten. Auch die Konzeption innova­tiver Lösungen zum mobilen Bezahlen ist Bestandteil des SRC-Leistungsspektrums.

Alle drei Unter­nehmen kennt die Welt des Zahlungs­ver­kehrs als wesent­liche Träger europäi­scher Standar­di­sie­rungs­in­itia­tiven wie nexo, CPACE und der Berlin Group.

Mit dem EPayStan­dards Konsortium erhält der inter­na­tionale Markt für Zahlungs­verkehr den Zugriff auf gebün­delte technische und strate­gische Beratungs­leis­tungen. Der Grund­stein der Zusam­men­arbeit wird mit Workshops für grenz­über­schreitend tätige Kunden wie Termi­nal­her­steller und Prozes­sing­dienst­leister gelegt.

In den letzten Jahren haben sich die europäi­schen Standards für Zahlungs­ver­kehrs­ter­minals weiter entwi­ckelt. Das bietet besonders für inter­na­tional tätige Akzep­tanten Chancen, um ihre Termi­nal­in­fra­struk­turen länder­über­greifend zu harmo­ni­sieren. SRC und Frenchsys bringen detail­lierte Kennt­nisse dieser neuen Standards und der beiden größten europäi­schen Zahlungs­ver­kehrs­märkte und Systeme ein. Elitt rundet die Koope­ration mit seiner Expertise zur techni­schen Vorbe­reitung von Umset­zungen und Zerti­fi­zie­rungen ab. So profi­tiert der inter­na­tionale Markt für Zahlungs­verkehr von der Kombi­nation der Stärken der Konsortialpartner.

Workshop-Konzept eMail an: mailto:contact@epec-experts.eu

 

Schlagwortarchiv für: Zahlungsverkehr