PCI DSS-Einhaltung

Kontakt zu einem Experten

Zurück zu allen Use Cases

PCI DSS-Einhaltung

DerPCI DSSwurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die weltweite Einführung einheitlicher Datensicherheitsmaßnahmen zu erleichtern. Der Standard gilt für alle Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Mit 12 Anforderungen in sechs Bereichen soll der Standard sicherstellen, dass Unternehmen über geeignete Kontrollen und Verfahren zum Schutz von Karteninhaberdaten verfügen.

Spezifisch für das Risikomanagement von Drittanbietern, Anforderung 12: Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme, Abschnitt 12.8: Risiken für Informationsressourcen im Zusammenhang mit Beziehungen zu Drittanbietern (TPSPs) werden gemanagt, besagt, dass Drittanbieter (TPSPs) dafür verantwortlich sind, sicherzustellen, dass Daten gemäß den geltenden PCI-DSS-Anforderungen geschützt werden und dass sie diese einhalten.

Dritte müssen die Einhaltung der PCI-DSS-Anforderungen nachweisen. Hier sindinterne Kontrollenundeinekontinuierliche Überwachung unerlässlich, um die Wirksamkeit der internen Datensicherheitskontrollen zu ermitteln und Mängel zu beheben, bevor eine schädliche Datenverletzung durch Dritte das Unternehmen beeinträchtigt.

Alle Dienstleister mit Zugriff auf Karteninhaberdaten – einschließlich Shared-Hosting-Anbieter – müssen sich an PCI DSS halten; Shared-Hosting-Anbieter müssen die gehostete Umgebung und die Daten jedes Unternehmens schützen. Diese Seite konzentriert sich speziell auf die Anforderungen an Hosting-Anbieter.

Relevante Anforderungen

  • Führen Sie eine sorgfältige Prüfung der Datensicherheitskontrollen und -praktiken von Drittanbietern durch.

  • Schließen Sie geeignete Vereinbarungen mit Drittanbietern ab, um Kontrollen durchzusetzen.

  • Identifizieren Sie, welche Datensicherheitskontrollen und -anforderungen von Drittanbietern gelten.
  • Überwachen Sie mindestens einmal jährlich die Einhaltung der Vorschriften durch Drittanbieter.

Erfüllung der PCI DSS-Richtlinien

Die folgende Übersichtstabelle zeigt die in derPrevalent Third-Party Risk Management Platformverfügbaren Funktionen für bewährte Verfahren der Branche, um die Anforderungen an Drittanbieter aus PCI DSS v4.0 auszuwählen.

HINWEIS: Diese Tabelle sollte nicht als endgültige Richtlinie betrachtet werden. Eine vollständige Liste der Anforderungen finden Sie im vollständigenPCI-Datensicherheitsstandard v4.0. Bitte lesen Sie diesen sorgfältig durch und wenden Sie sich an Ihren Auditor.

PCI DSS v4.0 Anforderungen an Drittanbieter und Testverfahren

Wie Prevalent hilft

Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software

6.3 Sicherheitslücken werden identifiziert und behoben.

6.3.2Es wird ein Verzeichnis der maßgeschneiderten und kundenspezifischen Software sowie der in maßgeschneiderte und kundenspezifische Software integrierten Softwarekomponenten von Drittanbietern geführt, um das Schwachstellen- und Patch-Management zu erleichtern.

6.3.2.aÜberprüfen Sie die Dokumentation und befragen Sie das Personal, um sicherzustellen, dass ein Verzeichnis der maßgeschneiderten und kundenspezifischen Software sowie der in diese Software integrierten Softwarekomponenten von Drittanbietern geführt wird und dass dieses Verzeichnis zur Identifizierung und Behebung von Schwachstellen verwendet wird.

6.3.2.bÜberprüfen Sie die Software-Dokumentation, einschließlich der Dokumentation für maßgeschneiderte und kundenspezifische Software, die Softwarekomponenten von Drittanbietern integriert, und vergleichen Sie diese mit dem Inventar, um sicherzustellen, dass das Inventar die maßgeschneiderte und kundenspezifische Software sowie die Softwarekomponenten von Drittanbietern enthält.

Mit der Prevalent Platform können Sie von Anbietern verlangen, aktualisierteSoftware-Stücklisten (SBOMs)für ihre Softwareprodukte bereitzustellen und diese als Nachweis oder wichtige Dokumentation zum Anbieter beizufügen. Dies hilft Ihnen, die Verwaltung wichtiger Artefakte zu zentralisieren und potenzielle Schwachstellen oder Lizenzprobleme zu identifizieren, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken könnten.

Anforderung 12: Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme

12.8 Risiken für Informationsressourcen im Zusammenhang mit Beziehungen zu Drittanbietern (TPSP) werden gemanagt.

12.8.1Es wird eine Liste aller Drittanbieter (TPSPs) geführt, mit denen Kontodaten geteilt werden oder die die Sicherheit von Kontodaten beeinträchtigen könnten, einschließlich einer Beschreibung der jeweils angebotenen Dienste.

12.8.1.aÜberprüfen Sie Richtlinien und Verfahren, um sicherzustellen, dass Prozesse zur Führung einer Liste von TPSPs definiert sind, einschließlich einer Beschreibung der einzelnen angebotenen Dienste, für alle TPSPs, mit denen Kontodaten geteilt werden oder die die Sicherheit von Kontodaten beeinträchtigen könnten.

12.8.1.bÜberprüfen Sie anhand der Dokumentation, ob eine Liste aller TPSPs geführt wird, die eine Beschreibung der angebotenen Dienstleistungen im Rahmen des maßgeschneiderten Ansatzes enthält.

Mit der Prevalent-Plattform können Sie Drittanbieter über eine Tabellenvorlage oder eine API-Verbindung zu einer bestehenden Beschaffungs- oder Lieferantenmanagementlösung in ein zentrales Verwaltungssystem importieren und so fehleranfällige manuelle Prozesse vermeiden.

Die Plattform bietet ein einfaches Aufnahmeformular für alle Stakeholder, die für die Verwaltung von Dritten verantwortlich sind, sodass alle Beiträge zum zentralen Profil des Dritten leisten können. Dieses steht allen per E-Mail-Einladung zur Verfügung, ohne dass eine Schulung oder Lösungskompetenz erforderlich ist.

Erstellen Sie mit der Prevalent-Plattformumfassende Profile von Drittanbietern, die firmografische Details, den geografischen Standort, die verwendeten Technologien von Viertanbietern sowie aktuelle operative und finanzielle Einblicke enthalten. Mit diesen gesammelten Daten können Sie Berichte erstellen und Maßnahmen gegen das Risiko einer Technologiekonzentration ergreifen.

12.8.2Schriftliche Vereinbarungen mit TPSPs werden wie folgt aufbewahrt:

  • Mit allen TPSPs, mit denen Kontodaten ausgetauscht werden oder die die Sicherheit der CDE beeinträchtigen könnten, werden schriftliche Vereinbarungen getroffen.
  • Schriftliche Vereinbarungen enthalten Bestätigungen der TPSPs, dass sie für die Sicherheit der Kontodaten verantwortlich sind, die die TPSPs besitzen oder anderweitig im Auftrag des Unternehmens speichern, verarbeiten oder übertragen, oder in dem Umfang, in dem sie die Sicherheit der CDE des Unternehmens beeinträchtigen könnten.

12.8.2.aÜberprüfen Sie Richtlinien und Verfahren, um sicherzustellen, dass Prozesse definiert sind, um schriftliche Vereinbarungen mit allen TPSPs gemäß allen in dieser Anforderung festgelegten Elementen aufrechtzuerhalten.

12.8.2.bÜberprüfen Sie schriftliche Vereinbarungen mit TPSPs, um sicherzustellen, dass sie in Übereinstimmung mit allen in dieser Anforderung festgelegten Elementen eingehalten werden.

Mit Prevalent können Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung vonLieferantenverträgenzentralisieren, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln eingehalten werden.

Zu den wichtigsten Fähigkeiten gehören:

  • Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und Lese-/Schreib-/Änderungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

12.8.3Es wird ein festgelegtes Verfahren für die Beauftragung von TPSPs umgesetzt, einschließlich einer angemessenen Sorgfaltsprüfung vor der Beauftragung.

12.8.3.aÜberprüfen Sie Richtlinien und Verfahren, um sicherzustellen, dass Prozesse für die Beauftragung von TPSPs definiert sind, einschließlich einer angemessenen Sorgfaltsprüfung vor der Beauftragung.

12.8.3.bPrüfen Sie die Nachweise und befragen Sie das zuständige Personal, um sicherzustellen, dass der Prozess zur Beauftragung von TPSPs eine angemessene Sorgfaltsprüfung vor der Beauftragung umfasst.

Beginnen Sie damit, die inhärenten Risiken für alle Dritten mithilfe von Prevalent zu quantifizieren. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Dritten herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Faktoren aus den Bereichen Dateninteraktion, Finanzen, Regulierung und Reputation.

12.8.4Es wird ein Programm implementiert, um den PCI DSS-Konformitätsstatus der TPSPs mindestens einmal alle 12 Monate zu überwachen.

12.8.4.aÜberprüfen Sie Richtlinien und Verfahren, um sicherzustellen, dass Prozesse definiert sind, mit denen der PCI DSS-Konformitätsstatus von TPSPs mindestens einmal alle 12 Monate überwacht wird.

12.8.4.bÜberprüfen Sie die Dokumentation und befragen Sie das zuständige Personal, um sicherzustellen, dass der PCI-DSS-Konformitätsstatus jedes TPSP mindestens einmal alle 12 Monate überwacht wird.

Die Prevalent TPRM-Plattform umfasst eine umfangreiche Bibliothek mit vorgefertigten Vorlagen fürRisikobewertungen von Drittanbietern– darunter auch solche, die speziell auf PCI zugeschnitten sind. Die Bewertungen können zum Zeitpunkt der Lieferantenaufnahme, der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach wesentlichen Änderungen in der Geschäftsbeziehung.

Die Bewertungen werden zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung Einblick in die Risiken von Drittanbietern hat.
Wichtig ist, dass Prevalent integrierte Empfehlungen zur Behebung von Mängeln auf der Grundlage der Ergebnisse der Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter Risiken zeitnah und zufriedenstellend beheben und den Prüfern die entsprechenden Nachweise vorlegen können.

Im Rahmen dieses Prozesses verfolgt und analysiert die Prevalent-Plattform kontinuierlichexterne Bedrohungen für Dritte. Die Plattform überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen optimiert werden.

Zusätzliche Ressourcen
Governance, Risiko und Einhaltung der Vorschriften
Erfüllung der PCI DSS-Anforderungen für Drittanbieter
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Kostenlose Vorlage für die Profilerstellung und Einstufung durch Dritte
Mehr erfahren
Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.