Zahlungsverkehr Archive - SRC Security Research & Consulting GmbH

Unser November-Blog-Eintrag zu PCI DSS v4.0: Rollen und Verantwortlichkeiten

Neue Unteranforderung in allen Requirements

In PCI DSS Version 4.0 wurde eine neue Unteranforderung in die Anforderungen 1 bis 11 aufgenommen, die die Notwendigkeit betont, Rollen und Verantwortlichkeiten bei der Ausführung der jeweiligen Anforderung x zu dokumentieren, zuzuweisen und zu verstehen (entsprechende Unteranforderung x.1.2).

Viele Firmen fragen sich, wie solch eine Zuweisung von Rollen und Verantwortlichkeiten aussehen kann. Muss ein neues Dokument erstellt werden? Muss dies firmenübergreifend gelten?

Der PCI DSS lässt die Form der Dokumentation bewusst offen. Das Ziel ist es, dass das Personal sich seiner Verantwortlichkeiten bewusst ist, damit die Aktivitäten zuverlässig durchgeführt werden.

Fast jedem PCI DSS-Assessor ist es schon mal begegnet, dass Schwachstellenscans nicht pünktlich jedes Vierteljahr durchgeführt wurden, weil es einfach übersehen wurde – hier hilft eine klar zugewiesene Verantwortlichkeit für die Einhaltung des Vierteljahres-Rhythmus.
Fast jeder PCI DSS-Assessorin ist schon einmal Kassenpersonal begegnet, dem nicht bewusst war, dass sie Zahlterminals auf Verdacht auf Manipulation oder Austausch überprüfen müssen. Auch diese Verantwortlichkeit sollte klar benannt werden – ebenso die der Rolle, die das Kassenpersonal dafür schult.

Wie kann die Zuweisung der Verantwortlichkeiten also praktisch aussehen?

Nutzung bestehender Dokumentation

In vielen Firmen sind bereits Rollen und Verantwortlichkeiten in bestehenden Richtlinien und Verfahrensanweisungen enthalten.

Ist bspw. in der Softwareentwicklungsrichtlinie bereits enthalten, wer den Code entwickelt, wer den Code-Review durchführt, wer Tests durchführt und wer die Freigabe für den Rollout als Teil des Prozesses gibt? Und ist in Interviews allen Beteiligten diese Rollenzuweisung klar? Dann muss hier im Bereich Softwareentwicklung nichts mehr ergänzt werden.

Ist aber noch keine derartige Dokumentation vorhanden, sollte sie erstellt werden. Ob die Zuweisung dabei im bestehenden Dokument ergänzt wird, oder ab man ein zusätzliches Dokument erstellt, ist dabei unerheblich.

Form der Darstellung

Auch die Form der Darstellung ist frei wählbar. Natürlich bietet sich eine RACI-Matrix oder eine Variante davon an. Aber auch andere Tabellen, Listen oder Fließtexte können den Zweck erfüllen.

Bei großen Teams mit gleichartigen Aufgaben reicht dabei oft eine Zuweisung wie „das Personal ist für die Durchführung von Aktivität X zuständig, der Teamleiter ist für die Schulung des Personals bei Einstellung, bei Aufgabenwechsel und im jährlichen Rhythmus sowie für die Freigabe der Ergebnisse zuständig“ – bei durchmischten Teams mit vielfältigen Aufgaben muss die Zuweisung ggf. bis auf einzelne Personen runtergebrochen werden.

Anlehnung an die operative Umsetzung

Bleiben Sie nicht zu nah an der Requirement-Aufteilung des PCI DSS – übersetzen Sie, wie Sie die Einhaltung sicherheitsrelevanter Prozesse in Ihrem eigenen operativen Geschäft umsetzen. Häufig sind an der Umsetzung einer Anforderung mehrere Rollen beteiligt – eine schreibt ggf. die Regeln auf, eine andere Rolle hält die Regeln bei der Umsetzung ein, wieder eine andere Rolle macht einen Review und/oder eine Freigabe des Umgesetzten. Wenn Sie die Schritte aufschreiben, wie Sie etwas durchführen, lässt sich gut zuordnen, wer für die jeweilige Tätigkeit zuständig ist.

Akzeptanz der Verantwortlichkeit

Die Zuweisung sollte natürlich nicht nur dokumentiert sein, sondern den Personen auch bekannt sein. Entsprechend sollte ein neues oder angepasstes Dokument im Kreis der Betroffenen vorgestellt werden.

Müssen die Personen unterschreiben, dass Ihnen ihre Verantwortung bewusst ist? In einer anderen Anforderung des PCI DSS v4.0, Anforderung 12.1.3, wird tatsächlich eine schriftliche Anerkennung der allgemeinen Verantwortung für die Informationssicherheit gefordert. Eine entsprechende dokumentierte Anerkennung der spezifischen Verantwortlichkeiten der jeweiligen Rolle wird in Anforderung x.1.2 nicht zwingend gefordert – man kann diese beiden Punkte, wenn man möchte, aber natürlich miteinander verbinden, indem man nicht nur eine generische, sondern auch rollenspezifische Verantwortlichkeiten abzeichnen lässt. Diese Kombination ist jedoch nicht vorgeschrieben.

Zusammenfassung

Was sollte also am Ende der Überlegungen mindestens stehen?

Die Dokumentation der Rollen und Verantwortlichkeiten für die verschiedenen Aufgaben im operativen Geschäft bei der Absicherung der Arbeit mit Zahlkartendaten, und
Personal, das sich seiner Rollen, Verantwortlichkeiten und Aufgaben bewusst ist und dies in Interviews bestätigen kann.

Auf diese Weise sollte die Einhaltung der Unteranforderungen x.1.2 machbar sein.

20 Jahre SRC

Vor 20 Jahren, am 27. November 2000 fand die Gründungsversammlung der Gesellschafter der SRC statt. Das ist eine lange Zeit, aber in der Rückschau betrachtet kommt es den handelnden Personen nicht so vor. Diese Wahrnehmung ist natürlich subjektiv, aber ein entscheidender Faktor hierfür wird sicherlich die rasante Entwicklung im Bereich der Informationstechnik sein.

Die Komplexität der Digitalisierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäftsgrundlage von SRC, der wesentliche Grund, warum es SRC gibt. Gleichzeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrauenswürdig sind.

Anschaulich lässt sich die Arbeit der SRC an solchen Dingen erläutern, die viele Menschen im täglichen Leben erleben. Dies sind allem voran das kontaktlose Bezahlen mit Karte und Handy, der sichere Zugriff auf Bankkonten durch Dritte, die elektronische Patientenakte, die sichere Kommunikation im Zusammenhang mit dem Galileo-System und in der Bundeswehr oder auch ganz „profane“ Dinge wie Flaschenpfandautomaten oder manipulationssichere Registrierkassen – alles Themen der Digitalisierung, mit denen Tag für Tag Millionen Menschen in der ein oder anderen Art in Berührung kommen. Die Entwicklung ist damit nicht zu Ende, mit Open Finance, IoT und der verstärkten Nutzung von KI-Methoden stehen noch viele spannende Themen an.

Keine dieser Lösungen wurde von SRC selbst hergestellt oder wird von SRC betrieben, aber wir haben bei allen einen ganz entscheidenden Beitrag geleistet: Wir sorgen für Vertrauen in diese digitale Lösungen – für Zuverlässigkeit, Sicherheit und Zukunftssicherheit. Wir schaffen „ein gutes Gefühl“ im Umgang mit der Digitalisierung:

Standards für neue Technologien schaffen Investitionssicherheit,
Zuverlässige Funktionalität neuer Lösungen durch Testen
Technische Sicherheit neuer Lösungen durch Sicherheitskonzepte und –prüfungen.

Tatsächlich ist es so, dass dieses „gute Gefühl“, das Vertrauen, so etwas wie der Schmierstoff der Digitalisierung ist. Denn mit der Digitalisierung und Technisierung des Alltags geht für viele Menschen einher, dass Prozesse nicht mehr überschaubar sind und der Wahrheitsgehalt von Informationen manchmal unklar ist. Vertrauen ermöglicht es, diese Komplexität zu reduzieren und eröffnet häufig erst die Akzeptanz der mit der Digitalisierung angestrebten neuen Möglichkeiten des Erlebens und Handelns.

Die Komplexität der Digitalisierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäftsgrundlage von SRC, der wesentliche Grund, warum es SRC gibt. Gleichzeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrauenswürdig sind.

In den 20 Jahren seit Bestehen der SRC haben wir mehr als 20.000 Projekte durchgeführt. Jedes Jahr wurden es mehr und auch SRC ist Jahr für Jahr gewachsen – nicht nur bezüglich der Anzahl der Mitarbeiter, sondern ganz besonders bei der Erweiterung der Expertise, teilweise auf Gebieten, die es zum Zeitpunkt der Gründung der SRC noch nicht gab.

Die gegenwärtige Pandemie-Situation erlaubt es nicht, das 20jährige Bestehen angemessen feiern zu können, was wir gerne gemeinsam mit unseren Kunden gemacht hätten. Wir denken darüber nach, dies zu einem geeigneten Zeitpunkt nachzuholen. Aber auch ohne Party würden wir uns freuen, wenn Sie uns als unsere Kunden auch weiterhin Ihr Vertrauen schenken.

Frenchsys, Elitt und SRC gründen das EPayStandards Konsortium

Gemeinsam mit den französischen Partnern Frenchsys und Elitt gründet SRC das EPayStandards Konsortium, eine Kooperation zum Ausbau der Beratung und Unterstützung internationaler Kunden im europäischen Zahlungsverkehr.

Als Tochterunternehmen von Cartes Bancaires unterstützt Frenchsys maßgeblich die technischen und funktionalen Spezifikationen, so wie die Integration im französischen Acquirermarkt.

Elitt hat den Schwerpunkt seiner Tätigkeit in der Entwicklung von Testfallkatalogen und Testtools für Terminals. Außerdem steht Elitt für innovative Zahlungslösungen.

SRC unterstützt Entwicklung und Pflege des deutschen girocard-Systems. Dazu gehören die Erstellung funktionaler und sicherheitstechnischer Spezifikationen für alle beteiligten Systemkomponenten. Auch die Konzeption innovativer Lösungen zum mobilen Bezahlen ist Bestandteil des SRC-Leistungsspektrums.

Alle drei Unternehmen kennt die Welt des Zahlungsverkehrs als wesentliche Träger europäischer Standardisierungsinitiativen wie nexo, CPACE und der Berlin Group.

Mit dem EPayStandards Konsortium erhält der internationale Markt für Zahlungsverkehr den Zugriff auf gebündelte technische und strategische Beratungsleistungen. Der Grundstein der Zusammenarbeit wird mit Workshops für grenzüberschreitend tätige Kunden wie Terminalhersteller und Prozessingdienstleister gelegt.

In den letzten Jahren haben sich die europäischen Standards für Zahlungsverkehrsterminals weiter entwickelt. Das bietet besonders für international tätige Akzeptanten Chancen, um ihre Terminalinfrastrukturen länderübergreifend zu harmonisieren. SRC und Frenchsys bringen detaillierte Kenntnisse dieser neuen Standards und der beiden größten europäischen Zahlungsverkehrsmärkte und Systeme ein. Elitt rundet die Kooperation mit seiner Expertise zur technischen Vorbereitung von Umsetzungen und Zertifizierungen ab. So profitiert der internationale Markt für Zahlungsverkehr von der Kombination der Stärken der Konsortialpartner.

Workshop-Konzept eMail an: mailto:contact@epec-experts.eu

Schlagwortarchiv für: Zahlungsverkehr

Unser November-Blog-Eintrag zu PCI DSS v4.0: Rollen und Verantwortlichkeiten

20 Jahre SRC

Frenchsys, Elitt und SRC gründen das EPayStandards Konsortium

Schlagwortarchiv für: Zahlungsverkehr

Terminals und Systeme für den Zahlungsverkehr

Prüfung elektronischer Komponenten im Zahlungsverkehr

Sicherheit in Ihrem Postfach

Adresse

Berichte von SRC