Wie ein kanadischer Medienriese sein PCI-DSS-Audit mithilfe automatisierter Code-Analyse bestanden hat

Branche – Medienproduktion
Unternehmensgröße – über 1000 Mitarbeiter

Kundenprofil

Als eines der größten Multimedia-Unternehmen Kanadas gehört der Umgang mit großen Mengen an Kreditkartendaten zum täglichen Geschäft, weshalb die Einhaltung des PCI DSS eine entscheidende Anforderung darstellt. Um diesen Standard zu erfüllen, benötigte das Unternehmen eine Lösung für die automatisierte Compliance-
e einer riesigen Menge an benutzerdefiniertem ABAP-Code innerhalb seiner SAP-Systeme. Es ging eine Partnerschaft mit Onapsis ein, um die SAP-Code-Analyse zu automatisieren – ein entscheidender Schritt, um das externe Audit zu bestehen und die Anwendungsbereitstellung zu beschleunigen.

Die Herausforderung: Nachweis der PCI-DSS-Konformität für benutzerdefinierten ABAP-Code

Nachdem das Unternehmen alle Kreditkartendaten in seine SAP-Systeme integriert hatte, unterlagen seine Anwendungen dem strengen Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS). Angesichts der großen Menge an benutzerdefiniertem Code, der über viele Jahre hinweg entwickelt worden war – ein Großteil davon von externen Partnern –, standen sie vor mehreren zentralen Herausforderungen:

  • Es fehlt ihnen an einer schnellen oder zuverlässigen Methode, ihren gesamten benutzerdefinierten ABAP-Code auf Schwachstellen zu überprüfen, die gegen die PCI-DSS-Anforderungen verstoßen würden.
  • Es müssen klare, umsetzbare Berichte für Entwickler erstellt werden, damit diese etwaige im Code festgestellte Compliance-Probleme beheben können.
  • Sie standen vor einem zeitaufwändigen und ressourcenintensiven externen Prüfungsprozess, um nachzuweisen, dass ihre SAP-Systeme den Vorschriften entsprachen.

Die Lösung: Automatisierte Code-Prüfung und Compliance-Berichterstattung

Das Medienunternehmen entschied sich für die Platform als Lösung zur Automatisierung des gesamten Prozesses der Code-Analyse und des Nachweises der Compliance.

Automatisierte PCI-DSS-Codeanalyse

Mithilfe der Code-Analysefunktionen platformkonnte das Unternehmen seinen gesamten benutzerdefinierten ABAP-Code automatisch gezielt auf die Einhaltung der PCI-DSS-Anforderungen überprüfen. Die platform genau die Probleme, die behoben werden mussten, und lieferte konkrete Anleitungen zur Behebung, sodass die Entwickler den Code schnell in Einklang mit den Vorschriften bringen konnten.

Optimierte Prüfungsberichterstattung

Dank Onapsis konnte das Team mühelos detaillierte Berichte und Dokumentationen zum Zustand seines Codes erstellen. Diese Berichte wurden direkt an externe Prüfer weitergeleitet, wodurch sich der Zeit- und Ressourcenaufwand für den Prüfungsprozess erheblich reduzierte und ein eindeutiger Nachweis der Konformität erbracht wurde.

Das Ergebnis: Ein erfolgreiches Audit und eine beschleunigte Entwicklung

Durch die Integration von Onapsis in den Entwicklungsprozess hat das Unternehmen nicht nur das PCI-DSS-Audit bestanden, sondern auch seinen gesamten Entwicklungszyklus effizienter und sicherer gestaltet.

Ergebnisse auf einen Blick:

  • Das PCI-DSS-Audit wurde bestanden, indem nachgewiesen wurde, dass der benutzerdefinierte ABAP-Code sicher und konform war.
  • Die Erkennung von Sicherheits- und Compliance-Risiken in benutzerdefiniertem Code wurde automatisiert.
  • Der Zeit- und Ressourcenaufwand für die Vorbereitung der Prüfung wurde erheblich reduziert.
  • Beschleunigte Anwendungsbereitstellung durch die direkte Integration von Konformitätsprüfungen in den Entwicklungsprozess.

Ein Leitfaden für SAP-Compliance und -Audits

Der Erfolg dieses Medienunternehmens liefert ein klares Vorbild dafür, wie man anspruchsvolle Compliance-Anforderungen wie PCI DSS erfüllt. Der Schlüssel zum Erfolg lag in der Automatisierung der Code-Analyse und Berichterstellung. Zu den wichtigsten Erkenntnissen für Ihr Unternehmen gehören:

  • Automatisieren Sie die Code-Prüfung anhand spezifischer Compliance-Rahmenwerke (wie PCI DSS, SOX oder DSGVO), um Probleme schnell zu erkennen.
  • Entwicklern praktische Anleitungen an die Hand geben, um die Fehlerbehebung zu beschleunigen und Nacharbeiten zu reduzieren.
  • Erstellen Sie umfassende Berichte, um externe Prüfungen zu optimieren und die Einhaltung von Vorschriften nachzuweisen.

Ein Leitfaden für SAP-Compliance und -Audits

Der Erfolg dieses Medienunternehmens liefert ein klares Vorbild dafür, wie man anspruchsvolle Compliance-Anforderungen wie PCI DSS erfüllt. Der Schlüssel zum Erfolg lag in der Automatisierung der Code-Analyse und Berichterstellung. Zu den wichtigsten Erkenntnissen für Ihr Unternehmen gehören:

  • Automatisieren Sie die Code-Prüfung anhand spezifischer Compliance-Rahmenwerke (wie PCI DSS, SOX oder DSGVO), um Probleme schnell zu erkennen.
  • Entwicklern praktische Anleitungen an die Hand geben, um die Fehlerbehebung zu beschleunigen und Nacharbeiten zu reduzieren.
  • Erstellen Sie umfassende Berichte, um externe Prüfungen zu optimieren und die Einhaltung von Vorschriften nachzuweisen.
Vollständige Case Study herunterladen

Weiterführende Literatur