PCI DSS und die Cloud – ein Widerspruch?

28. September 2016

Expertentipp von Nicolas Schiller, Berater und PCI Auditor, zum Umgang mit Cloud Service Providern im Kontext von PCI DSS.
Muss ich bei der Auswahl eines Cloud Service Providers etwas mit Blick auf die PCI DSS Zertifizierung meines Unternehmens berücksichtigten?
Nicolas Schiller: Ja, der Cloud Service Provider muss ebenfalls die Anforderungen des PCI DSS erfüllen, wenn PCI-relevante Systeme in der Cloud betrieben werden sollen. Sonst ist die eigene PCI DSS Compliance nicht gegeben.
Bedeutet das, der Cloud Service Provider muss im Rahmen der eigenen Zertifizierung mit betrachtet werden?
Nicolas Schiller: Das ist zwar eine Möglichkeit, aber nicht die von uns empfohlene. Um den Zertifizierungsaufwand des eigenen Unternehmens möglichst gering zu halten, empfehlen wir stattdessen dringend einen Anbieter zu wählen, der bereits selbst PCI DSS zertifiziert ist.
Auf was sollte außerdem in der Zusammenarbeit mit einem Cloud Service Provider geachtet werden?
Nicolas Schiller: Es ist sehr wichtig, die Verantwortlichkeiten genau festzulegen. Sonst besteht die Gefahr, dass PCI DSS Anforderungen nicht berücksichtigt werden, weil sich beide Vertragspartner nicht in der Verantwortung sehen. Das gilt bei PCI DSS im Übrigen ganz grundsätzlich bei der Zusammenarbeit mit Dienstleistern.

Stellen diese Vorgaben ein Problem bei der Auswahl eines Cloud Service Providers dar?

Nicolas Schiller: Nein, in der Regel nicht. Die bekannten Cloud Service Provider bieten alle PCI DSS zertifizierte Services an und liefern üblicherweise gleich eine Aufstellung der Verantwortlichkeiten mit.
Bedeutet das, als Unternehmen bin ich aus der Verantwortung wenn ich meine PCI-Umgebung an einen PCI DSS zertifizierten Cloud Service Provider auslagere?
Nicolas Schiller: Es ist zwar möglich, die eigene PCI-Umgebung in die Cloud auszulagern, je nach angebotenem Service sind aber mehr oder weniger Aufgaben noch in eigener Hand. Das betrachten wir dann im Einzelfall und beraten entsprechend.
Sie haben Fragen dazu? Sprechen Sie uns gerne an:
Telefon: +49 6102 8631-90
E-Mail: pci@usd.de

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien