PCI DSS gilt für alle Unternehmen, die Zahlungskartendaten speichern, verarbeiten oder übertragen. Vor allem große und global agierende Unternehmen stehen jedoch aufgrund ihrer Größe, Struktur, geografischen Ausdehnung und ihres Geschäftsbetriebs vor gewissen Herausforderungen in Hinblick auf eine PCI DSS Zertifizierung. Entsprechende Netzwerkarchitekturen sowie eine Vielzahl von Zahlungskanälen und -bereichen erfordern umfangreiche Vorbereitungen, bevor an geeignete Sicherheitsmaßnahmen und -prüfungen überhaupt gedacht werden kann. Aufgrund dieser Komplexität müssen große Unternehmen ihre Konzepte zur Verwaltung der PCI DSS Verantwortlichkeiten und Scopes weiterentwickeln, um die Einhaltung des PCI DSS im gesamten Unternehmen sicherzustellen.
Worldline, ein weltweit führender Anbieter von sicheren Zahlungsdiensten mit Einheiten in über 40 Ländern, kennt diese Herausforderung nur zu gut: „Fusionen, Übernahmen und unterschiedliche lokale Rechtsprechungen erschweren jedes Zertifizierungsprojekt. Bei Worldline sind wir da keine Ausnahme“, erklärt Isil Ugurlu, Head of Worldline Group PCI Program. „Eine PCI DSS Zertifizierung auf globaler Konzernebene anzustreben, ist kein leichtes Unterfangen, und die bevorstehenden Änderungen, die PCI DSS v4.0 mit sich bringt, erfordern parallel dazu eine weitere formale und technische Weiterentwicklung und Implementierung. Für uns war klar, dass wir einen neuen Ansatz wählen mussten. In Zusammenarbeit mit dem PCI-Team der usd wurde das Konzept der Harmonisierung entwickelt: Eine gruppenweite Ausrichtung aller Assessments an zentralen Vorgaben und Richtlinien des Worldline Group PCI Program. Für uns funktioniert dieser Ansatz sehr gut und ich bin zuversichtlich, dass er uns erfolgreich durch die anstehende Transition zu PCI DSS v4.0 führen wird. Ich freue mich daher, gemeinsam mit Christopher Kristes von der usd im Namen aller an diesem Projekt beteiligten Personen das Konzept, den Ansatz und natürlich auch die Stolpersteine auf dem PCI SSC Community Meeting mit der Community zu teilen - ganz sicher werden andere Zahlungsdienstleister dieser Größe auf ähnliche Situationen stoßen.“
Am 25. Oktober 2023, dem zweiten Tag des 2023 Europe Community Meeting in Dublin, werden Isil Ugurlu von Worldline und Christopher Kristes von der usd gemeinsam in ihrem Vortrag „The Journey to Harmonisation: Successful Alignment of PCI Assessments in a Global Enterprise Environment“ vorstellen, wie PCI-Prozesse, -Richtlinien und -Bewertungen über alle Einheiten hinweg angeglichen werden können, um die genannten Herausforderungen zu bewältigen. Der Vortrag beleuchtet das Zertifizierungsprojekt von beiden Seiten, der des Kunden und der des QSAs: Isil Ugurlu wird zunächst einen Einblick in das PCI-Programm geben, das sie bei Worldline leitet, einschließlich der Entscheidung, die Organisation an den wichtigsten Geschäftsbereichen auszurichten. Christopher Kristes wird das von der usd speziell für Worldline entwickelte PCI-Assessment-Konzept vorstellen.
Christopher Kristes, Head of Security Audits & PCI und Mitglied der Geschäftsleitung der usd AG, zum Inhalt der Präsentation: „Worldline, insbesondere das Team um Isil, hat durch ihr effizientes und zielgerichtetes Streben nach Harmonisierung seit Projektbeginn bereits viel erreicht. Wir sind stolz darauf, dieses umfangreiche Zertifizierungsprojekt als Partner unterstützen zu können. Aus unserer langjährigen Erfahrung wissen wir, dass es bei Assessments keine One-size-fits-all-Lösung gibt, aber dieses Projekt war besonders spannend. Es galt, ein individuelles Assessment-Konzept zu entwickeln, das möglichst genau auf die Unternehmen der Worldline-Gruppe zugeschnitten ist und deren jeweiligen Harmonisierungsgrad in den Assessment-Sessions möglichst effizient berücksichtigt. Im Ergebnis konnten wir wichtige Best Practices für zukünftige PCI Assessments und Kundenumgebungen mitnehmen und haben nun die Möglichkeit, dieses Wissen an andere QSAs weiterzugeben und zu diskutieren - und zwar auf dem zentralen Treffpunkt der wichtigsten Akteure der Zahlungskartenindustrie.“
Aufgrund der Bedeutung des Community Meetings als unverzichtbare Plattform für den internationalen Austausch innerhalb der Payment Security Community unterstützt die usd AG das Europe Community Meeting auch in diesem Jahr als Sponsor.
„Seit fast 20 Jahren sind wir als akkreditierter Auditor für alle relevanten PCI-Standards tätig“, erklärt Torsten Schlotmann, Head of PCI Security Services der usd AG. „Wir sind einer der führenden QSAs in Mitteleuropa und engagieren uns seit 2018 auch im Global Executive Assessor Roundtable (GEAR) und in einigen Special Interest Groups des Councils. Veranstaltungen wie das Community Meeting sind wichtig, um beim Thema Zahlungssicherheit auf dem Laufenden zu bleiben und voneinander zu lernen. Deshalb war für uns schnell klar, dass wir nicht nur am Community Meeting in Dublin teilnehmen, sondern die Veranstaltung auch wieder als Sponsor unterstützen werden.“
Über Worldline
Worldline ist ein weltweit führender Anbieter von sicheren Zahlungsdienstleistungen und verlässlichen Transaktionen. Wir stehen an der Spitze der digitalen Revolution, die neue Formen des Bezahlens, des Lebens, der Geschäftswelt und der sozialen Beziehungen prägt. Diese schaffen Vertrauen entlang der gesamten Wertschöpfungskette des Zahlungsverkehrs. Unsere innovativen Lösungen, die sich auf eine solide technologische Basis stützen, sind umweltfreundlich, breit zugänglich und unterstützen den sozialen Wandel.
Über das PCI SSC Community Meeting
Unter dem Motto „Helfen Sie mit, Zahlungsdaten weltweit sicherer zu machen“ lädt das Payment Card Industry Security Standards Council jedes Jahr Organisationen zur Teilnahme an den PCI SSC Community Meetings ein. Mit mehrtägigen Konferenzen in den USA, Europa und Asien schafft das Council jedes Jahr ein Forum für die globale Zahlungssicherheitsgemeinschaft, um sich auszutauschen und voneinander zu lernen. Im Jahr 2023 werden die PCI SSC Community Meetings in Portland, Dublin und Kuala Lumpur stattfinden. Die Teilnehmer*innen erwartet ein Ausstellerbereich, eine Vielzahl von Networking-Möglichkeiten und ein volles Programm mit Keynotes und Präsentationen: Updates vom Council, Einblicke in aktuelle Trends und Best Practices von Branchenexperten.