FAQ

Wieso sollen wir externe Consultants beschäftigen?

Viele Unternehmen akzeptieren nur PCI-zertifizierte Unternehmen als Partner. Also ist hier Zeit ein kritischer Faktor. Bei dem Einsatz der PCI-Consultants zur Vorbereitung auf ein PCI-Audit gewinnen Sie Zeit. Die eingesetzten Consultants sind bestens mit dem Thema betraut und kennen die Vorgehensweise in PCI-Audits, so dass Sie hier schnell und sicher an das Ziel gelangen.

Wieso sollen wir keine QSA's als Consultants einsetzen?

Alle Unternehmen können jederzeit die Beraterleistung von QSA's einsetzen. Auch QSA's kennen sich natürlich bestens mit dem Thema aus. Aber das Unternehmen von dem QSA, welcher auch die Zertifizierung durchführt beraten wird, so hat das Unternehmen das "Problem", dass der eingesetzte Consultant NICHT so eingehend beraten und dann die Beratung umsetzen darf. Dieses ist eine Frage der Berufsethik. Ein Auditor muss unabhängig sein. Wenn dieser Auditor nun tief in das System des zu beratenden Unternehmens eingegriffen hat und zum Beispiel die Policies geschrieben hat, dann kann er diese nicht unbefangen bewerten, schließlich sind es ja "seine".

Mit den PCI-Consultants taucht diese Problematik nicht auf. Die PCI-Consultants sind darauf ausgerichtet zu beraten UND umzusetzen, aber nicht das Unternehmen zu zertifizieren. Dadurch sparen die Unternehmen Zeit und können sich weiterhin auf die Tagesgeschäfte konzentrieren während die PCI-Vorbereitung von den PCI-Consultants erledigt wird.

Können die PCI-Consultants auch die Audits durchführen?

Nein. Zwar sind die Consultants auch als Auditoren aktiv gewesen, jedoch ist hier eine klare Trennung zwischen der Beraterleistung und der Auditierleistung zu sehen. Die Beratung muss unabhängig und von unabhängigen Personen von der Zertifizierung erfolgen. Eine tiefgreifende Beratung und Umsetzungshilfe und folgende Auditierung durch eine Person/ein Unternehmen ist aus ethischen Gründen der Auditoren nicht möglich. Die PCI-Consultants übernehmen deshalb nur die Vorbereitungsleistung und bringen Unternehmen zu dem Punkt an dem sie zertifiziert werden können, führen aber die Zertifizierung nicht selber durch. Dieses muss durch einen der von VISA/Mastercard zugelassenen QSA's erfolgen.

Kann ein QSA beraten und ein anderer auditieren?

Klare Antwort ... JA. Diese Konstruktion ist prinzipiell sinnvoll, da Sie Beraterleistung und Auditleistung trennen müssen und sollten. Die PCI-Consultants begleiten Sie jedoch bis in das Audit und durch das Audit. Wenn sich in dem Audit nun zwei direkte Konkurrenten gegenübersitzen, so ist zu wünschen, dass sich beide professionell genug verhalten und dem Unternehmen hieraus kein Schaden entsteht. Die PCI-Consultants sind Berater und keine Konkurrenten im Auditbereich.

Wie lange dauert die Vorbereitung?

Diese Frage ist nicht pauschal zu beantworten. Die Antwort hängt davon ab, wie weit das entsprechende Unternehmen heute schon ist. Einer Beratung geht in der Regel eine "gap analyse" voran. Hier wird versucht herauszufinden wie weit das Unternehmen im Moment ist und welche Bereiche noch geändert werden müssen. Oftmals sind nur Dokumente zu schreiben und einzuführen. Dieses dauert natürlich nicht so lange wie wenn dem Unternehmen 10 der 12 Punkte im PCI-DSS gänzlich fehlen. Je nachdem, wie weit entfernt sich das Unternehmen von dem PCI-Standard befindet kann die Vorbereitung von einem Tag (z.B. durch ein Pre-Audit) bis zu einigen Wochen/Monaten dauern. Sofern die Unternehmen dabei die PCI-Consultants einsetzen, nehmen diese aber eine Menge der zeitfressenden und "nervigen" Aufgaben ab und die Unternehmen können sich weiterhin auf die Tagesarbeit kümmern. Die Unternehmen können so schneller als alleine und sicherer ans Ziel gelangen und  müssen nicht  Personen aus dem aktuellen Tagesgeschäft abziehen.