PCI Continuous Compliance is een service die speciaal is ontwikkeld om bedrijven te helpen. Compliance komt namelijk in verschillende delen. Voor sommigen lijkt het moeilijkste deel de weg naar compliance te zijn, maar in feite zien we dat veel organisaties worstelen om PCI compliant te blijven: PCI DSS is geen taak die jaarlijks die op een bepaalde datum wordt uitgevoerd, maar vereist continue ondersteuning en ‘Tender, Love and Care’. Met de Continuous Compliance service ‘kijkt’ de QSA gedurende het hele jaar mee over de schouder om de jaarlijkse audit soepel te laten verlopen.

 

PCI Plan

 

De PCI Security Standards Council (SSC) beveelt en pleit zelfs sterk voor dat bedrijven een PCI plan ontwikkelen voor de continuering van de PCI-compliance. Het ‘guidance document’ dat zij hiervoor hebben heet “Best Practices for Maintaining PCI DSS Compliance” (January 2019) somt de belangrijkste problemen op bij het handhaven van compliance. Een van de punten vereist zelfs dat bedrijven een PCI-charter ontwikkelen en dat ze de verantwoordelijkheid toewijzen voor “overall accountability for maintaining PCI DSS compliance.”

De activiteiten en controles binnen PCI DSS dienen dagelijks, wekelijks, maandelijks, driemaandelijks, halfjaarlijks en jaarlijks te worden uitgevoerd. Er zijn veel redenen waarom acties kunnen worden gemist, maar de meest voorkomende reden is een gebrek aan middelen. Idealiter zou het handhaven van compliance-activiteiten de kernverantwoordelijkheid moeten zijn van een medewerker of een team van medewerkers. Als QSA-bedrijf zien we echter dat de meeste bedrijven falen in voortdurende naleving en zien dat ze stoppen met nadenken over PCI zodra de QSA het gebouw heeft verlaten. Om nog maar te zwijgen van de stress wanneer de QSA het volgende jaar weer arriveert.

Om bedrijven te helpen bij het valideren van PCI-compliance, hebben we ons PCI Continuous Compliance-programma ontwikkeld, waarbij periodieke sessies, controles en vergaderingen worden geïmplementeerd om de activiteiten van het PCI DSS-complianceprogramma te volgen en ervoor te zorgen dat ze worden uitgevoerd. Door een QSA in dit programma op te nemen, zorgt u ervoor dat uw pad naar PCI-compliance soepel verloopt.
 

PCI Continuous Compliance service

 

Onze PCI DSS-service voor continue naleving is een op een abonnement gebaseerde service. Het biedt een aantrekkelijke en effectieve methode voor PCI-DSS compliance en biedt toegang tot een QSA gedurende het gehele jaar. De QSA begeleidt de periodieke taken, en helpt om deze bij te houden zodat ze tijdens de audit periode beschikbaar zijn om eventuele problemen of vragen op te lossen.

 

Voordelen

 

We hebben de belangrijkste voordelen van onze PCI Continuous Compliance-service op een rijtje gezet:

  • Subscription-based service. Vaste maandelijkse kosten
    Dit model is gebaseerd op een vast maandelijks bedrag, zodat u het PCI DSS-project al aan het begin van de cyclus kunt budgetteren.
  • Directe PCI QSA gespecialiseerde ondersteuning
    De service zorgt voor de beschikbaarheid van een PCI-consultant of QSA voor eventuele vragen tijdens de PCI-onderhoudsbeheercyclus. Bovendien kan elk nieuw project of elke wijziging die van invloed is op de PCI-scope-omgeving vooraf worden geanalyseerd in termen van impact en geïmplementeerd worden met de zekerheid dat het is afgestemd op de vereisten van de norm.
  • Periodiek overleg met een PCI QSA
    Periodieke coördinatie door een QSA traint de betrokken teams bij de dynamiek van PCI-beheer, hierdoor wordt dit op natuurlijke wijze deel van de werkwijzen. Met name is dit van belang in organisaties die geen specifieke PCI afdeling hebben. De PCI-bijeenkomsten kunnen ook worden gebruikt om eventuele nieuwe projecten te bespreken, die bijvoorbeeld van invloed kunnen zijn op de gegevensomgeving van de kaarthouder of de manier waarop betalingen worden uitgevoerd.
  • Jaarlijkse PCI assessment inbegrepen
    In de maandelijkse vergoeding is de jaarlijkse PCI audit inbegrepen. Ofwel het bewijs en de volledige SAQ worden gecontroleerd, of als een Report on Compliance (ROC) nodig is, zal de volledige audit worden uitgevoerd. Dit resulteert in een Attestation of Compliance (AOC).
  • Garandeert de haalbaarheid van toekomstie PCI certificering
    De risico’s van het niet slagen van de volgende PCI-audit worden geminimaliseerd. Dit komt omdat de continue service ervoor zorgt dat periodieke controles correct en op tijd zijn uitgevoerd en dat de bijbehorende resultaten (waarvan bewijs moet worden overlegd tijdens de audit) voldoen aan de eisen van PCI DSS.
  • Vermindert lengte van het PCI audit proces 
    Remediation times en inspanningen in evaluatieprocessen worden drastisch verminderd. Hierdoor worden de hercertificerings- en geldigheidstermijnen van de AOC’s gegarandeerd, waardoor onnodige spanningen met klanten en/of aquiring entiteiten worden vermeden.
  • Geleidelijk verlaging van de servicekosten
    De kosten en moeite die met deze service gepaard gaan, kunnen worden verminderd in de volgende PCI-certificeringscycli. De uitgebreide coördinatie en beoordeling die nodig is in de eerste cycli wordt onnodig door de regelmatige monitoring van PCI-onderhoudsactiviteiten en QSA-ondersteuning.

De maandelijkse vergoeding is afhankelijk van de behoeften van de organisatie. Inbegrepen zijn de 4 verplichte ASV-scans per kwartaal en de jaarlijkse PCI-audit. Ook bieden wij jaarlijkse pentesten aan voor een aantrekkelijke prijs. Als u geïnteresseerd bent om meer te weten te komen over hoe deze service voor uw organisatie kan werken. Neem dan contact met ons op via sales@fortytwo.nl of bezoek onze website www.fortytwo.nl

Lees meer over PCI compliance and an annual plan
Lees meer over PCI and tips on how to reduce the costs