Welke PCI SAQ heb ik nodig?

by: adminPosted on:

gepubliceerd op 31 juli 2019 door Alan Gouveia – 3 min gelezen

Welke PCI SAQ heb ik nodig?

Welke van de negen Self-Assessment Questionnaires (SAQ’s) van de Payment Card Industry Data Security Standard (PCI DSS) uw organisatie moet invullen en indienen, hangt af van verschillende factoren:

  • Hoe u creditcardtransacties verwerkt. Besteedt u de verwerking van deze transacties uit aan een derde partij, of doet u het zelf?
  • Welk type betalingsverwerkingsmachine of -terminal u gebruikt voor credit- en debitcardtransacties.
  • Of u betalingen in de winkel accepteert van klanten met een fysieke kaart of telefoon-betaalapplicatie, of strikt alleen e-commerce bent.

Wat is een SAQ, en waarvoor dient hij?

De PCI DSS Self-Assessment Questionnaires (SAQ’s) zijn hulpmiddelen die door de PCI Security Standards Council (PCI SSC) worden verstrekt om handelaren die betaalkaarten verwerken en dienstverleners te helpen bij het meten van hun eigen PCI-naleving van de Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQ’s).

Organisaties die niet verplicht zijn een on-site audit door een Qualified Security Assessor (QSA) of Internal Security Assessor en het daaruit voortvloeiende Report on Compliance (ROC) te laten uitvoeren, mogen in plaats daarvan een zelfbeoordeling uitvoeren. SAQ’s bestaan uit twee onderdelen:

  • vragen die met de PCI DSS-vereisten overeenkomen
  • een verklaring van overeenstemming (Attestation of Compliance, AOC), die bij uw acquiring bank moet worden ingediend

Welke SAQ is geschikt voor mijn organisatie?

De PCI SSC heeft acht SAQ’s voor handelaren en één voor dienstverleners ontwikkeld. De PCI DSS 3.2.1 SAQ’s en hun beoogde gebruikers zijn:

  • SAQ A: voor handelaren die op afstand zaken doen (e-commerce, postorder, telefoonorder) en die de verwerking en opslag van betaalkaartgegevens hebben uitbesteed aan een door de PCI DSS gevalideerde derde partij, en die geen kaart- of kaarthoudergegevens in welke vorm dan ook opslaan.
  • SAQ A-EP: voor e-handelaren die de verwerking en opslag van betaalkaartgegevens hebben uitbesteed aan een PCI DSS- gevalideerde derde partij, maar ook een website onderhouden die geen kaarthoudergegevens ontvangt, maar wel de veiligheid van een betalingstransactie zou kunnen beïnvloeden.
  • SAQ B: voor handelaren die persoonlijk verkopen met behulp van kredietkaartafdrukmachines of standalone, dial-out terminals die geen kaarthoudergegevens elektronisch opslaan.
  • SAQ B-IP: voor kaarthandelaren die persoonlijk verkopen en alleen gebruikmaken van standalone, PIN Transaction Security (PTS)-goedgekeurde betaalkaartterminals met een internetprotocol (IP)-verbinding met de betalingsverwerker, en die geen elektronische kaarthoudergegevens opslaan.
  • SAQ C-VT: voor handelaren die één transactie per keer manueel via een toetsenbord invoeren in een internetgebaseerde, virtuele betaalterminaloplossing die wordt geleverd en gehost door een PCI DSS-gevalideerde derde dienstverlener. SAQ C-VT-handelaren mogen geen elektronische kaarthoudergegevens opslaan.
  • SAQ C: voor handelaren die in persoon verkopen met behulp van betalingsapplicatiesystemen die met het internet zijn verbonden. SAQ-C-handelaren slaan geen elektronische gegevens van kaarthouders op.
  • SAQ P2PE: voor handelaren die alleen hardware betaalterminals gebruiken die deel uitmaken van en beheerd worden via een gevalideerde, PCI SSC-lijst opgenomen Point-to-Point Encryption (P2PE)-oplossing, zonder opslag van elektronische kaarthoudergegevens. Niet van toepassing op e-commerce kanalen.
  • SAQ D voor handelaren: Voor alle handelaren die niet zijn opgenomen in de beschrijvingen voor de bovenstaande SAQ-typen.
  • SAQ D voor dienstverleners: Voor alle dienstverleners die door een betaalmerk zijn gedefinieerd als in aanmerking komend voor het invullen van een SAQ.

Als uw organisatie betaalkaartinformatie verwerkt, opslaat of verzendt en u niet verplicht bent een on-site audit en ROC te verkrijgen, moet u een SAQ invullen en samen met een AOC bij uw acquiring bank indienen.

Hoe u tijd en geld kunt besparen op uw SAQ

PCI DSS SAQ-formulieren kunnen lang en omslachtig zijn om in te vullen, wat uw organisatie tijd, geld en andere waardevolle middelen kost. Dit geldt vooral als u spreadsheets gebruikt om uw PCI-compliance-inspanningen bij te houden en documentatie verzamelt uit verschillende bronnen, zoals e-mailaccounts, postcorrespondentie, websitemateriaal en sms-berichten.

Om de zelfbeoordelingstaak te verlichten en tijd en geld te besparen, kunt u eens een compliance-software proberen. ZenGRC kan onder andere:

  • U helpen de omvang van uw omgeving met kaarthoudergegevens (CDE) zo klein mogelijk te maken
  • Uw systemen en netwerken onderzoeken om te zien waar u aan PCI DSS voldoet en waar niet
  • U vertellen wat u moet doen om compliance te bereiken
  • Een gebruikers-gebruiksvriendelijk overzicht van uw PCI compliance-houding op ons “single source of truth” dashboard
  • Verzamel en bewaar de audit-trail documenten die u nodig hebt
  • Onderzoek en bewaak de compliance van uw third-party service providers
  • Bewaak voortdurend uw voortdurende PCI DSS compliance

Wordt het niet eens tijd dat u uw verwarrende, ouderwetse spreadsheets inruilt voor een complete, gebruiksvriendelijke compliance-oplossing? Bel vandaag nog een Reciprocity-expert en zet uw eerste stap op weg naar PCI DSS-compliance – op de Zen-manier.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.