Welche PCI SAQ benötige ich?

by: adminPosted on:

Veröffentlicht am 31. Juli 2019 von Alan Gouveia – 3 min lesen

Welchen PCI SAQ benötige ich?

Welcher der neun Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQs) Ihr Unternehmen ausfüllen und einreichen muss, hängt von mehreren Faktoren ab:

  • Wie Sie Kreditkartentransaktionen verarbeiten. Lagern Sie diese Transaktionen an einen Dritten aus oder führen Sie sie selbst durch?
  • Welche Art von Zahlungsverarbeitungsmaschine oder Terminal Sie für Kredit- und Debitkartentransaktionen verwenden.
  • Ob Sie Zahlungen von Kunden in Geschäften mit einer physischen Karte oder einer Telefonzahlungsanwendung akzeptieren oder ob Sie ausschließlich im E-Commerce tätig sind.

Was ist eine SAQ, und wofür ist sie gedacht?

PCI DSS Self-Assessment Questionnaires (SAQs) sind Werkzeuge, die vom PCI Security Standards Council (PCI SSC) zur Verfügung gestellt werden, um Händlern und Dienstleistern, die Zahlungskarten verarbeiten, zu helfen, ihre eigene PCI-Compliance Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQs) zu messen.

Organisationen, die nicht verpflichtet sind, ein Vor-Ort-Audit durch einen Qualified Security Assessor (QSA) oder Internal Security Assessor und den daraus resultierenden Report on Compliance (ROC) einzuholen, dürfen stattdessen eine Selbsteinschätzung vornehmen. SAQs enthalten zwei Komponenten:

  • Fragen, die sich auf die PCI DSS-Anforderungen beziehen
  • Eine Konformitätsbescheinigung (AOC), die bei der anwerbenden Bank eingereicht werden muss

Welches SAQ ist das richtige für mein Unternehmen?

Das PCI SSC hat acht SAQs für Händler und eine für Dienstleistungsanbieter entwickelt. Die SAQ-Typen des PCI DSS 3.2.1 und ihre vorgesehenen Nutzer sind:

  • SAQ A: Für Händler, die ihre Geschäfte aus der Ferne betreiben (E-Commerce, Versandhandel, Telefonbestellung), die die Verarbeitung und Speicherung von Zahlungskartendaten an einen PCI DSS-validierten Dritten ausgelagert haben und keine Karten- oder Karteninhaberdaten in irgendeiner Form speichern.
  • SAQ A-EP: Für E-Commerce-Händler, die die Verarbeitung und Speicherung von Kreditkartendaten an einen PCI DSS-validierten Dritten ausgelagert haben, aber auch eine Website unterhalten, die keine Karteninhaberdaten empfängt, aber die Sicherheit eines Zahlungsvorgangs beeinträchtigen könnte.
  • SAQ B: Für Händler, die Verkäufe persönlich durchführen und dabei Automaten mit Kreditkartenaufdruck oder eigenständige Einwahlterminals verwenden, die Karteninhaberdaten nicht elektronisch speichern.
  • SAQ B-IP: Für Händler, die ihre Verkäufe persönlich abwickeln und dabei nur eigenständige, für die PIN-Transaktionssicherheit (PTS) zugelassene Kartenzahlungsterminals verwenden, die über ein Internetprotokoll (IP) mit dem Zahlungsabwickler verbunden sind und die keine elektronischen Karteninhaberdaten speichern.
  • SAQ C-VT: Für Händler, die jeweils eine einzelne Transaktion manuell über eine Tastatur in eine internetbasierte, virtuelle Zahlungsterminal-Lösung eingeben, die von einem PCI DSS-validierten Drittanbieter bereitgestellt und gehostet wird. SAQ C-VT-Händler dürfen keine elektronischen Karteninhaberdaten speichern.
  • SAQ C: Für Händler, die ihre Verkäufe persönlich über Zahlungsanwendungssysteme abwickeln, die mit dem Internet verbunden sind. SAQ-C-Händler speichern keine elektronischen Karteninhaberdaten.
  • SAQ P2PE: Für Händler, die nur Hardware-Zahlungsterminals verwenden, die in eine validierte, vom PCI SSC gelistete Point-to-Point Encryption (P2PE)-Lösung eingebunden sind und über diese verwaltet werden, ohne dass elektronische Karteninhaberdaten gespeichert werden. Gilt nicht für E-Commerce-Kanäle.
  • SAQ D for Merchants: Für alle Händler, die nicht in den Beschreibungen für die oben genannten SAQ-Typen enthalten sind.
  • SAQ D for Service Providers: Für alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, eine SAQ auszufüllen.

Wenn Ihr Unternehmen Zahlungskartendaten verarbeitet, speichert oder überträgt und Sie keine Vor-Ort-Prüfung und kein ROC benötigen, müssen Sie eine SAQ ausfüllen und sie zusammen mit einem AOC bei Ihrer erwerbenden Bank einreichen.

Wie Sie bei Ihrer SAQ Zeit und Geld sparen

PCI DSS SAQ-Formulare können langwierig und mühsam auszufüllen sein und Ihr Unternehmen Zeit, Geld und andere wertvolle Ressourcen kosten. Dies gilt insbesondere dann, wenn Sie Tabellenkalkulationen verwenden, um Ihre PCI-Compliance-Bemühungen zu verfolgen, und Unterlagen aus unterschiedlichen Quellen wie E-Mail-Konten, Postkorrespondenz, Website-Materialien und Textnachrichten sammeln.

Um die Aufgabe der Selbstbewertung zu erleichtern und Zeit und Geld zu sparen, sollten Sie eine Compliance-Software verwenden. ZenGRC kann u.a.:

  • Helfen Sie Ihnen, den Umfang Ihrer Karteninhaberdaten-Umgebung (CDE) zu minimieren
  • Untersuchen Sie Ihre Systeme und Netzwerke, um zu sehen, wo Sie den PCI DSS einhalten und wo nicht
  • Sagen Sie Ihnen, was Sie tun müssen, um die Konformität zu erreichen
  • Bieten Sie einen benutzer-
  • Dashboard bietet einen benutzerfreundlichen Überblick über Ihre PCI-Konformität
  • Sammeln Sie die benötigten Audit-Trail-Dokumente und bewahren Sie sie auf
  • Überwachen Sie die Konformität Ihrer Drittanbieter
  • Überwachen Sie kontinuierlich Ihre laufende PCI DSS-Konformität

Ist es nicht an der Zeit, dass Sie Ihre verwirrenden, altmodischen Tabellenkalkulationen gegen eine vollständige, benutzerfreundliche Compliance-Lösung auszutauschen? Rufen Sie noch heute einen Reciprocity-Experten an, und machen Sie den ersten Schritt auf dem sorgenfreien Weg zur PCI DSS-Konformität – auf die Zen-Art.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.