PCI DSS Gap-Analyse
Die Gap-Analyse ist eines Ihrer hilfreichsten Tools für die Vorbereitung auf Ihre PCI DSS Zertifizierung. In der Gap-Analyse überprüfen wir die Einhaltung relevanter Sicherheitsanforderungen im Vorfeld Ihres eigentlichen Audits. Dadurch haben Sie die Möglichkeit, vorhandene Abweichungen vom Standard frühzeitig zu erkennen und vor der offiziellen PCI DSS Zertifizierung zu korrigieren. So haben Sie auch im Fall von größeren Abweichungen die Möglichkeit und genügend Zeit, diese pünktlich zum Audit zu beheben.
Der PCI DSS verpflichtet Sie zudem, ganzjährig Ihre Compliance aufrechtzuerhalten. Nehmen Sie beispielsweise zwischen den Audits eine signifikante Änderung an Ihrer Umgebung vor, kann eine Gap-Analyse äußerst hilfreich sein, um auch unterjährig Ihre Compliance mit dem Standard sicherzustellen.
Abgrenzung zur PCI DSS Zertifizierung
Die Gap-Analyse unterliegt keinen offiziellen Vorgaben des PCI SSC und kann demnach flexibel nach Ihren Bedürfnissen gestaltet werden. Die Prüftiefe ist in der Regel geringer als bei der eigentlichen PCI DSS Zertifizierung (PCI DSS Audit) und dient zu deren Vorbereitung. Es werden keine offiziellen Nachweisdokumente (AoC & RoC) ausgestellt.
Wir empfehlen Ihnen eine PCI DSS Gap-Analyse bei:
| Initialer PCI DSS Zertifizierung mit bereits bekanntem PCI DSS Scope |
| Signifikanten Änderungen an bereits zertifiziertem PCI DSS Scope |
| Umstellung von PCI DSS v3.2.1 auf v4.0 |
Versionswechsel zu PCI DSS v4.0
PCI DSS v4.0 ist das bisher umfangreichste Update des Sicherheitsstandards: Version 4.0 wird die bisherige Version 3.2.1 ab dem 1. April 2024 ablösen. Für die Umsetzung einiger neuer Anforderungen haben Sie jedoch noch länger Zeit: Die "future-dated requirements" werden erst ab dem 1. April 2025 verpflichtend.
Nutzen Sie diese Übergangszeit, um im Rahmen einer Gap-Analyse prüfen zu lassen, inwieweit Sie die neuen Anforderungen bereits erfüllen und wieviel Aufwand mit der Umsetzung für Sie verbunden ist.
Wir empfehlen Ihnen, die Gap-Analyse in Ihr nächstes PCI DSS Audit zu integrieren. So sparen Sie Zeit und weitere wertvolle Ressourcen. Natürlich führen wir die Gap-Analyse auch als separate Prüfung mit Ihnen durch.
Unser Vorgehen
Kick-Off / Vorbereitung
Wir legen den Scope und Detaillierungsgrad der Gap-Analyse gemeinsam mit Ihnen fest. Da im Gegensatz zum eigentlichen PCI DSS Audit keine Vorgaben zu Scope und Prüftiefe befolgt werden müssen, können wir die Gap-Analyse flexibel nach Ihren Bedürfnissen gestalten. Gerne geben wir Ihnen hierzu Empfehlungen und beraten Sie zu klassischen "Stolpersteinen" im Audit.
Durchführung
Fit für das Audit. Innerhalb der PCI DSS Gap-Analyse überprüfen wir alle IT-Systeme, Dokumentationen und Prozesse, die wir gemeinsam mit Ihnen im Vorfeld bestimmt haben, hinsichtlich ihrer Compliance mit PCI DSS. Abweichungen werden in Form eines Maßnahmenkatalogs zur Behebung dokumentiert und mit Ihnen besprochen.
Die Validierung der PCI DSS Anforderungen erfolgt nach individueller Absprache. Hierbei setzen wir hauptsächlich auf Interviews, die Prüfung von Dokumenten und relevanter IT-Systeme sowie Anwendungen, und falls erforderlich, auf Sicherheitsbegehungen.
Unsere Auditor*innen führen die PCI DSS Gap-Analyse flexibel bei Ihnen vor Ort, remote oder im Hybridmodell durch. Die konkrete Durchführungsweise wird in enger Abstimmung mit Ihnen festgelegt.
Abschlussbericht
Alle gefundenen Abweichungen zum PCI DSS Standard dokumentieren wir für Sie in einem detaillierten Maßnahmenkatalog, der Sie bei der Korrektur der Abweichungen unterstützt. Es werden keine offiziellen Nachweisdokumente (AoC & RoC) ausgestellt.
Gerne unterstützen wir Sie im Anschluss an die Gap-Analyse beratend bei der Korrektur der Abweichungen.
