| HOME | BUSINESS ACADEMY |-> PCI DSS NACH BSI GRUNDSCHUTZ |
Diebstahl und Weiterverkauf von Kreditkarten nehmen weiter zu und stellen ein lukratives Geschäft für Kreditkartenbetrüger dar. Umso wichtiger ist der Schutz der (PAN-)Daten bei Bankautomaten oder im Onlinegeschäft.
Um dem zu begegnen und (weitere) Reputationsschaden abzuwenden, wurde von den führenden Kartenorganisationen der Payment Card Industry Data Security Standard (PCI DSS) für alle Unternehmen eingeführt, die Kreditkarten-Transaktionen durchführen (Banken, Dienstleister und e-Commerce etc.).
Jede Organisation, die ihre wertvollen Kreditkartendaten einem Managed Hosting-Anbieter anvertraut, sollte daher unbedingt darauf achten, dass PCI DSS-Sicherheitssysteme implementiert sind. Sie ist auch selbst dafür verantwortlich, in diesem Zusammenhang die Einhaltung des PCI DSS gegenüber den Kreditkartenorganisationen bzw. den Vertragshändlern in Form eines standardisierten Fragebogens nachzuweisen.
Falls PAN-Daten auf eigenen Systemen, die über das Internet erreichbar sind, verarbeitet werden, müssen zusätzlich zu den "Requirements" regelmäßig PCI Schwachstellen-Scans der Systeme erfüllt und dokumentiert werden. Doch gerade bei der umfassenden Dokumentation fehlt es oft an Struktur.
Dieses 2-Tages-Praxis-(Aufbau)-Seminar vermittelt die Planung, Einführung, Umsetzung und Dokumentation des PCI DSS für Banken und Handelsunternehmen (E-Commerce) auf Basis der Methodik des BSI Grundschutz Handbuches.
Erfahren Sie die Seminarinhalte durch ANKLICKEN DER BALKEN:
Seminartag 1: Einführung, Struktur und Verständnis von PCI DSS
MODUL I (DER PCI DSS IM KONTEXT ZU IT-GOVERNANCE)
Sie erhalten zunächst einen kompletten Überblick über das PCI DSS Regelwerk, den Kontext zu IT-Governance im Unternehmen und warum ein Delegieren in die IT alleine selten zum Erfolg führt.
Dazu werden besonders rechtliche, organisatorische und technische Verantwortungsebenen beleuchtet, die vom PCI DSS betroffen sind. Es ist nämlich nicht nur eine Sache der IT(-Abteilung).
Insbesondere werden die 12 Anforderungen der Regelung untersucht und die Auswirkungen (jeweils compliant oder non-compliant) auf Infrastruktur, IT-Prozesse, Geschäftsprozesse und auf das Geschäft selbst vermittelt:
- Installation und Pflege einer Firewall zum Schutz der Daten
- Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
- Schutz der gespeicherten Daten von Kreditkarteninhabern
- Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
- Einsatz und regelmäßiges Update von Virenschutzprogrammen
- Entwicklung und Pflege sicherer Systeme und Anwendungen
- Einschränken von Datenzugriffen auf das Notwendige
- Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
- Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
- Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
- Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
- Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
Die Umsetzung im Einzelnen wird i.d.R. vom Transaktions- und Umsatzvolumen des Unternehmens abhängig gemacht.
Sie entwickeln in diesem Modul ein "Gefühl" dafür, was der PCI DSS bewirkt, wie er sich in den Prozess-Ebenen auswirkt, was eine Compliance für Chancen - und eine Non-Compliance für Risiken für das Unternehmen bergen.
Im Ergebnis wissen Sie bereits vor einer Umsetzung, wie dieser in allen Verantwortungsbereichen abgebildet und kosteneffizient eingehalten werden kann.
-> ZURÜCK
Seminartag 2: QSAC-Requirements anhand der BSI Methodik "abarbeiten"
MODUL II (ANWENDEN DER BSI METHODIK AUF DIE PCI DSS VORGABEN)
Wichtig ist bei der Umsetzung, dass die ergriffenen Massnahmen strukturiert, nachvollziehbar und sauber dokumentiert werden. Nur dann kann sich der QSAC ein Bild davon machen und die Umsetzung attestieren.
Und Sie erhalten das begehrte Zertifikat.
Ein Weg dazu ist die Vorgehensweise nach der Methodik des BSI Grundschutzhandbuches, denn diese hat folgende Vorteile:
- Strukturierte Herangehensweise und Bildung von IT-Verbünden (hier: was ist im PCI DSS "Scope"?)
- Erstellung eigener Bausteine und Abbilden in bewährten Tools
- Bei konsequenter Anwendung und Umsetzung kann nichts vergessen gehen!
- Eine saubere und ordentliche, für jede Ebene wie auch dem QSAC nachvollziehbare Dokumentation erhöhen die Chance auf die Zertifizierung erheblich - und reduzieren den Aufwand dafür
Wie die auditierten "Requirements" des PCI DSS am besten mit der Methodik des BSI Grundschutzes erfüllt werden können, lernen Sie in diesem Modul.
Anschließend kann 3rd Mind im Projekt gerne mit seinem Leistungsportfolio unterstützen.
Für dieses Seminar ist es zwingend erforderlich, entsprechende Kenntnisse in der BSI Methodik zu haben, idealerweise diesen Sicherheitsstandard (in Teilen oder unternehmensweit) bereits eingeführt und umgesetzt zu haben.
Falls diese Kenntnisse nicht vorhanden sind, können diese im Vorfeld hier erworben werden.
-> ZURÜCK
Somit ist es Voraussetzung, zumindest die Basics des BSI Grundschutzhandbuches zu kennen oder unseren Kurs BSI Grundschutz (Einführung) vorher zu absolvieren.
Der Aufbau sowie das Schichtenmodell dieses nationalen Sicherheitsstandards sind ideal für eine strukturierte Umsetzung des PCI DSS. Es geht nichts vergessen, es wird sauber dokumentiert und alles bleibt nachvollziehbar - für alle Ebenen.
Die Teilnehmer/innen sind nach diesem Seminar in der Lage, die "Requirements" des "QSAC" mit Blick auf die eigene IT-Infrastruktur zu verstehen und umzusetzen, entsprechende Bausteine und Kataloge zu entwerfen und PCI DSS verlustfrei strukturiert und sauber einzuführen.
ZIELGRUPPE: IT-Leitung und -Verantwortliche, IS-Beauftragte, IT-Administratoren, u.U. Gw-Beauftragte etc.
DAUER: 2 Tage vor Ort in Ihrer Bank / Ihrem Unternehmen.
Für weitere Informationen und Buchungen etc. sprechen Sie uns bitte direkt an.
