Expertentipp von Nicolas Schiller, Berater und PCI Auditor, zum Umgang mit Cloud Service Providern im Kontext von PCI DSS.
Muss ich bei der Auswahl eines Cloud Service Providers etwas mit Blick auf die PCI DSS Zertifizierung meines Unternehmens berücksichtigten?
Nicolas Schiller: Ja, der Cloud Service Provider muss ebenfalls die Anforderungen des PCI DSS erfüllen, wenn PCI-relevante Systeme in der Cloud betrieben werden sollen. Sonst ist die eigene PCI DSS Compliance nicht gegeben.
Bedeutet das, der Cloud Service Provider muss im Rahmen der eigenen Zertifizierung mit betrachtet werden?
Nicolas Schiller: Das ist zwar eine Möglichkeit, aber nicht die von uns empfohlene. Um den Zertifizierungsaufwand des eigenen Unternehmens möglichst gering zu halten, empfehlen wir stattdessen dringend einen Anbieter zu wählen, der bereits selbst PCI DSS zertifiziert ist.
Auf was sollte außerdem in der Zusammenarbeit mit einem Cloud Service Provider geachtet werden?
Nicolas Schiller: Es ist sehr wichtig, die Verantwortlichkeiten genau festzulegen. Sonst besteht die Gefahr, dass PCI DSS Anforderungen nicht berücksichtigt werden, weil sich beide Vertragspartner nicht in der Verantwortung sehen. Das gilt bei PCI DSS im Übrigen ganz grundsätzlich bei der Zusammenarbeit mit Dienstleistern.
Stellen diese Vorgaben ein Problem bei der Auswahl eines Cloud Service Providers dar?
Nicolas Schiller: Nein, in der Regel nicht. Die bekannten Cloud Service Provider bieten alle PCI DSS zertifizierte Services an und liefern üblicherweise gleich eine Aufstellung der Verantwortlichkeiten mit.
Bedeutet das, als Unternehmen bin ich aus der Verantwortung wenn ich meine PCI-Umgebung an einen PCI DSS zertifizierten Cloud Service Provider auslagere?
Nicolas Schiller: Es ist zwar möglich, die eigene PCI-Umgebung in die Cloud auszulagern, je nach angebotenem Service sind aber mehr oder weniger Aufgaben noch in eigener Hand. Das betrachten wir dann im Einzelfall und beraten entsprechend.
Sie haben Fragen dazu? Sprechen Sie uns gerne an:
Telefon: +49 6102 8631-90
E-Mail: pci@usd.de
DORA Countdown: Nur noch 1 Monat bis zur Deadline
DORA, der Digital Operational Resilience Act, wird am 17. Januar 2025 in vollem Umfang gültig. Die EU-Verordnung fordert von regulierten Finanzinstituten, die gelisteten Anforderungen für interne Prozesse und Systeme umzusetzen und dies auch bei ihren...