Das PCI-Audit eines Kunden ist mit Erfolg abgeschlossen. Das sogenannte Cardholder Data Environment (abgekürzt: CDE) das wir im Rechenzentrum für den Kunden betreiben und managen, ist vom Auditor als Compliant abgenommen worden. Es handelt sich um ein umfangreiches internationales Projekt, wofür der Kunde seinen Auditor für einige Tage anreisen und die Plattform prüfen lies.
Das Gute an der Geschichte: Der Auditor musste so gut wie keine Zeit im Rechenzentrum verbringen. Sein kurzer Blick in die Kundenracks sollte nur sicher stellen, dass die einzelnen Systeme der Plattform (der „im Audit-Scope enthaltene Systeme“) sich auch tatsächlich darin befinden. Warum? Da das Projekt auf unserer eigenen kürzlich erhaltenen PCI-Zertifizierung unseres Rechenzentrums (für Colocation-Services) aufbaut.
Folgende Anforderungen der PCI-DSS v3.2 werden durch das Zertifikat der Hostway Deutschland bereits für unsere Kunden abgedeckt:
– Anforderung 9: Einschränkung des physischen Zugangs zu den Kreditkarteninhaberdaten: alle Punkte bis einschließlich 9.4.4.
– Anforderung 11.1: Regelmäßige Überprüfung der Rechenzentrumsfläche nach unautorisierten drahtlosen Zugangspunkten und zugehörige Prozesse
– Anforderung 12: Erstellung und Pflege einer Richtlinie zur Informationssicherheit: Punkte 12.1, 12.2, 12.4-12.7, 12.9-12.11
Was bedeutet unser Zertifikat für Kunden, die selbst eine PCI-Zertifizierung anstreben? Sie müssen sich um die Rechenzentrum-bezogenen Themen nicht mehr kümmern. Diese sind von einem autorisierten PCI-Auditor geprüft und attestiert wurden. Sie können somit Ihre Zertifizierung auf unserer aufbauen. Das können wir auch gemeinsam tun: Einzelne Service-Bereiche können durch Hostway Deutschland betreut werden und unsere Erfahrung im Bereit PCI kann in den Zertifizierungsprozess einfließen.
Hostway ist seit November 2017 PCI-DSS v3.2 – zertifiziert
Die Rechenzentrumsdienstleistungen der Hostway Deutschland GmbH entsprechen den PCI Data Security Standards (PCI DSS). Diese strengen Standards wurden ursprünglich von Kreditkartenorganisationen definiert und gelten als verbindlich im Umgang mit Kreditkarteninformationen, das heißt das jedes Unternehmen, welches Kreditkartenzahlung akzeptiert sich an die Sicherheitsvorgaben des PCI DSS halten muss. Durch die gesteigerte IT-Sicherheit mit verbindlichen Regeln wird die Online-Kriminalität eingedämmt. Das PCI Audit findet jährlich statt, sodass bei uns alle notwendigen Schutzmaßnahmen zur Datensicherheit umgesetzt werden, damit Ihre Kundendaten auch zukünftig sicher sind.
