Erfüllung der PCI DSS-Anforderungen für Drittanbieter

Alle Drittanbieter mit Zugriff auf Karteninhaberdaten – einschließlich Shared-Hosting-Anbieter – müssen sich an PCI DSS halten. Hier finden Sie eine Übersicht über die Bereiche, die nach Inkrafttreten der Version 4.0 zu bewerten sind.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter April 2, 2024 7 min gelesen
Decorative image

Der Payment Card Industry Data Security Standard (PCI DSS) wurde ursprünglich 2004 entwickelt und liegt nun in der Version 4.0 vor. Er zielt darauf ab, die Sicherheit von Karteninhaberdaten zu verbessern und die weltweite Einführung einheitlicher Datensicherheitsmaßnahmen zu erleichtern. Der Standard gilt für alle Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Mit 12 Anforderungen in sechs Bereichen soll der Standard sicherstellen, dass Unternehmen über geeignete Kontrollen und Verfahren zum Schutz von Karteninhaberdaten verfügen.

Spezifisch für das Risikomanagement von Drittanbietern, Anforderung 12: Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme, Abschnitt 12.8: Risiken für Informationsressourcen im Zusammenhang mit Beziehungen zu Drittanbietern (TPSP) werden gemanagt, besagt, dass Drittanbieter (TPSPs) dafür verantwortlich sind, sicherzustellen, dass Daten gemäß den geltenden PCI-DSS-Anforderungen geschützt sind und dass sie diese einhalten. PCI definiert Drittanbieter als diejenigen Unternehmen, an die Organisationen folgende Aufgaben ausgelagert haben:

  • ihre Zahlungsvorgänge oder;
  • die Verwaltung von Systemen (wie Routern, Firewalls, Datenbanken, physischer Sicherheit und/oder Servern), die an der Übertragung, Speicherung oder dem Schutz von Karteninhaberdaten beteiligt sind.

Anforderungen an Drittanbieter in PCI DSS v4.0

Der PCI-Standard verlangt von Unternehmen, dass sie ihre Drittanbieter (TPSPs) verwalten, darunter:

  • Durchführung einer Due-Diligence-Prüfung der Datensicherheitskontrollen und -praktiken von Drittanbietern
  • Abschluss geeigneter Vereinbarungen mit Drittanbietern zur Durchsetzung von Kontrollen
  • Identifizieren, welche Datensicherheitskontrollen und -anforderungen von Drittanbietern gelten
  • Überwachung der Einhaltung der Vorschriften durch Drittanbieter mindestens einmal jährlich

Es ist wichtig zu beachten, dass TPSPs dafür verantwortlich sind, ihre PCI DSS-Konformität gemäß den Anforderungen der Organisationen nachzuweisen. Der Standard sieht zwei (2) primäre Möglichkeiten zur Validierung der Konformität vor, darunter:

  • Jährliche Bewertungen: Der TPSP unterzieht sich einer jährlichen PCI DSS-Bewertung und legt seinen Kunden Nachweise vor, dass der TPSP die geltenden PCI DSS-Anforderungen erfüllt.
  • Mehrere Bewertungen auf Anfrage: Wenn ein TPSP keine jährliche PCI DSS-Bewertung durchführt, muss er auf Anfrage seiner Kunden Bewertungen durchführen und/oder an jeder PCI DSS-Bewertung seiner Kunden teilnehmen, wobei die Ergebnisse jeder Überprüfung den jeweiligen Kunden zur Verfügung gestellt werden müssen.

Fazit: Zu den grundlegenden Anforderungen für das Management von Drittanbietern gehören die Bewertung und kontinuierliche Überwachung von TPSPs.

Obwohl PCI DSS keine rechtliche Verbindlichkeit hat und die Einhaltung der Vorschriften keinen Schutz vor Datenverstößen garantiert, ist sie für alle Unternehmen, die Kredit- oder Debitkartentransaktionen abwickeln, obligatorisch.

PCI DSS-Anforderungen

Die folgende Liste enthält eine Zusammenfassung der PCI DSS-Richtlinien in Bezug auf Dritte sowie bewährte Verfahren zur Erfüllung dieser Anforderungen. Für die Zwecke dieses Blogs (und unter Berücksichtigung des Umfangs des PCI-Standards) wird nur die Anforderung 12.8 behandelt.

Bitte lesen Sie den gesamten PCI DSS -Standard sorgfältig durch, um festzustellen, inwiefern die einzelnen Anforderungen für Ihr Unternehmen gelten.

Anforderung 12.8

Risiken für Informationsressourcen im Zusammenhang mit Beziehungen zu Drittanbietern (TPSP) werden gemanagt.

12.8.1 Es wird eine Liste aller Drittanbieter (TPSPs) geführt, mit denen Kontodaten geteilt werden oder die die Sicherheit von Kontodaten beeinträchtigen könnten, einschließlich einer Beschreibung der jeweils angebotenen Dienste.

Erstellen Sie umfassende Profile von Drittanbietern, die firmografische Details, den geografischen Standort, die verwendeten Technologien von Viertanbietern sowie aktuelle operative und finanzielle Einblicke enthalten. Beginnen Sie damit, Drittanbieter über eine Tabellenvorlage oder eine API-Verbindung zu einer bestehenden Beschaffungs- oder Lieferantenmanagementlösung in ein zentrales Managementsystem zu importieren, um fehleranfällige manuelle Prozesse zu vermeiden. Stellen Sie dann allen für die Verwaltung von Drittanbietern zuständigen Stakeholdern ein einfaches Erfassungsformular zur Verfügung, damit alle Daten in ein zentrales Drittanbieterprofil eingeben können. Dieses sollte für alle per E-Mail-Einladung verfügbar sein, ohne dass Schulungen oder Lösungskenntnisse erforderlich sind.

12.8.2 Schriftliche Vereinbarungen mit TPSPs werden wie folgt aufbewahrt:

  • Mit allen TPSPs, mit denen Kontodaten ausgetauscht werden oder die die Sicherheit der CDE beeinträchtigen könnten, werden schriftliche Vereinbarungen getroffen.
  • Schriftliche Vereinbarungen enthalten Bestätigungen der TPSPs, dass sie für die Sicherheit der Kontodaten verantwortlich sind, die die TPSPs besitzen oder anderweitig im Auftrag des Unternehmens speichern, verarbeiten oder übertragen, oder in dem Umfang, in dem sie die Sicherheit der CDE des Unternehmens beeinträchtigen könnten.

Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln eingehalten werden.

  • Verfolgen Sie alle Verträge und Vertragsattribute wie Typ, wichtige Termine, Wert, Erinnerungen und Status zentral – mit benutzerdefinierten, rollenbasierten Ansichten.
  • Verwenden Sie Workflows (basierend auf Benutzer- oder Vertragstyp), um den Lebenszyklus des Vertragsmanagements zu automatisieren.
  • Automatisieren Sie Erinnerungen und Mahnungen, um Vertragsüberprüfungen zu optimieren.
  • Vertragsverhandlungen und Kommentarnachverfolgung zentralisieren
  • Speichern Sie Verträge und Dokumente mit rollenbasierten Berechtigungen und Prüfpfaden für alle Zugriffe.
  • Aktivieren Sie die Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt.
  • Nutzen Sie rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und Lese-/Schreib-/Änderungszugriff ermöglichen.

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Audit-Klauseln im Lieferantenvertrag formuliert sind und SLAs entsprechend nachverfolgt und verwaltet werden.

12.8.3 Es wird ein festgelegtes Verfahren für die Beauftragung von TPSPs umgesetzt, einschließlich einer angemessenen Sorgfaltsprüfung vor der Beauftragung.

Beginnen Sie mit der Quantifizierung der inhärenten Risiken für alle Dritten. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Dritten herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Faktoren aus den Bereichen Dateninteraktion, Finanzen, Regulierung und Reputation.

12.8.4 Es wird ein Programm implementiert, um den PCI DSS-Konformitätsstatus der TPSPs mindestens einmal alle 12 Monate zu überwachen.

Suchen Sie nach Lösungen, die eine große Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen von Drittanbietern bieten – einschließlich solcher, die speziell für PCI entwickelt wurden. Die Bewertungen können zum Zeitpunkt der Lieferantenaufnahme, der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach wesentlichen Änderungen in der Geschäftsbeziehung.

Die Bewertungen werden zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung einen Überblick über die Risiken durch Dritte hat.

Wichtig ist, dass Sie integrierte Abhilfemaßnahmenempfehlungen auf der Grundlage der Ergebnisse der Risikobewertung einbeziehen, um sicherzustellen, dass Ihre Drittparteien Risiken zeitnah und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Im Rahmen dieses Prozesses sollten externe Bedrohungen für Dritte kontinuierlich verfolgt und analysiert werden. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Behebung und Reaktion zu optimieren.

Der vorherrschende Unterschied

Die weit verbreitete Plattform für das Risikomanagement von Drittanbietern kann Unternehmen dabei helfen, die im PCI-Standard veröffentlichten Anforderungen an Drittanbieter zu erfüllen, indem sie:

  • Bereitstellung einer zentralen Plattform zur Automatisierung der Einbindung, Bestandsaufnahme und Verwaltung aller Drittanbieter.
  • Erstellung eines umfassenden Profils von Drittanbietern für alle internen Stakeholder, das kontinuierlich aktualisierte Informationen zu Cyber-, Geschäfts-, Finanz-, Compliance- und Reputationsaspekten enthält.
  • Zentralisierung der Verteilung, Diskussion, Aufbewahrung und Überprüfung von Verträgen mit Drittanbietern, um sicherzustellen, dass wichtige Sicherheitsanforderungen enthalten sind, vereinbart werden und mit Hilfe von Leistungskennzahlen (KPIs) durchgesetzt werden.
  • Bewertung des inhärenten Risikos zur Erstellung von Profilen, Einstufungen und Kategorisierungen von Drittanbietern – und Festlegung des angemessenen Umfangs und der Häufigkeit laufender Due-Diligence-Aktivitäten.
  • Automatisierung von Risikobewertungen und Abhilfemaßnahmen in jeder Phase des Lebenszyklus von Drittanbietern.
  • Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Drittanbieter durch Überwachung des Internets und des Dark Webs auf Cyber-Bedrohungen und Schwachstellen.
  • Vereinfachung der PCI-Auditberichterstattung durch zentralisierte Bewertungen, Überwachung und Nachweisverwaltung.

Wenn du mehr darüber erfahren möchtest, wie Prevalent dir dabei helfen kann, das Management von Drittanbietern unter PCI DSS zu vereinfachen, frag einfach nach einer Demo.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.