Die PCI DSS Selbstbewertung (SAQ – Self-Assessment Questionnaire) ist die Methode, mit der die meisten Händler ihre jährliche PCI DSS-Konformität nachweisen. Es gibt acht verschiedene SAQ-Typen, und das Ausfüllen des falschen SAQ kann bedeuten, dass man entweder zu viele Kontrollen verwaltet oder – schlimmer – die eigene Compliance-Situation falsch darstellt. Dieser Leitfaden erklärt, welches SAQ auf Ihre Situation zutrifft und wie Sie den Aufwand durch Scope-Reduzierung minimieren können.
Die verschiedenen SAQ-Typen erklärt
PCI SSC hat spezifische SAQ-Typen für verschiedene Händler-Akzeptanzszenarien entwickelt:
- SAQ A (22 Fragen): Händler, die alle Kartendaten vollständig an einen PCI DSS-zertifizierten Drittanbieter ausgelagert haben. Keine eigene CDE, kein elektronisches Speichern, Verarbeiten oder Übertragen von Kartendaten.
- SAQ A-EP (ca. 140 Fragen): Händler, die Zahlungsseiten über iFrame oder JavaScript-Redirect implementiert haben, aber direkten Einfluss auf die Rendition der Seite haben.
- SAQ B (40 Fragen): Händler, die ausschließlich Imprint-Maschinen oder eigenständige Dial-up-Terminals ohne elektronische Kartendatenspeicherung verwenden.
- SAQ B-IP (ca. 80 Fragen): Händler mit PTS-zugelassenen POI-Geräten mit einer IP-Verbindung zum Zahlungsdienstleister.
- SAQ C-VT (ca. 80 Fragen): Händler, die virtuelle Terminals auf PCs verwenden und keine Kartendaten elektronisch speichern.
- SAQ C (ca. 160 Fragen): Händler mit Zahlungsanwendungssystemen, die mit dem Internet verbunden sind, aber keine Kartendaten elektronisch speichern.
- SAQ P2PE (ca. 35 Fragen): Händler, die PCI SSC-validierte P2PE-Lösungen verwenden.
- SAQ D (ca. 350 Fragen): Alle anderen Händler, die nicht in die obigen Kategorien passen. Dies ist die umfangreichste Selbstbewertung.
Wie man das richtige SAQ für sich wählt
Die Wahl des richtigen SAQ hängt nicht von der Größe des Unternehmens ab, sondern davon, wie Kartendaten akzeptiert und verarbeitet werden. Die entscheidenden Fragen sind:
- Speichern, verarbeiten oder übertragen meine eigenen Systeme irgendwelche Kartendaten?
- Haben meine Server direkten Zugriff auf PANs (auch wenn sie nur durchgeleitet werden)?
- Nehme ich Karten telefonisch entgegen und gebe die Daten manuell ein?
- Gibt es eine direkte Verbindung zwischen meinen internen Systemen und Zahlungsverarbeitungssystemen?
Wenn alle Antworten „Nein" lauten und die Zahlungsseite vollständig von einem PCI DSS-zertifizierten Anbieter betrieben wird, ist SAQ A das Ziel. Wenn interne Systeme Kartendaten berühren, muss man mindestens SAQ C und möglicherweise SAQ D ausfüllen.
Von SAQ D auf SAQ A: Die Vereinfachungsstraße
Viele Händler füllen aktuell SAQ C oder SAQ D aus, obwohl sie sich mit einer Architekturänderung für SAQ A qualifizieren könnten. Der Weg führt über Tokenisierung:
- Online-Checkout: Statt eines benutzerdefinierten Zahlungsformulars auf eigener Domain verwendet man eine Hosted Payment Page oder ein sicheres iFrame des PCI-Anbieters. Der PAN geht direkt in den Vault des Anbieters, nie in eigene Server.
- Telefon-/MOTO-Kanal: Statt dass der Mitarbeiter die Kartennummer in ein internes System eingibt, erhält der Kunde einen sicheren Zahlungslink per SMS oder E-Mail und gibt die Karte selbst ein. Kein PAN-Kontakt im eigenen System.
- Backend-Systeme: CRM, ERP, Buchhaltung arbeiten ausschließlich mit Tokens statt mit PANs. Keine Kartendaten in internen Datenbanken.
Nach dieser Transformation kann der Händler ehrlich „Nein" auf alle Fragen antworten, die den eigenen Kontakt mit Kartendaten betreffen. Er qualifiziert sich für SAQ A: 22 Fragen statt 350.
Was PCI DSS v4 für die Selbstbewertung ändert
PCI DSS v4 hat einige Änderungen an den SAQs eingeführt, die für 2025 verbindlich sind:
- SAQ A: Neue Anforderungen für Zahlungsseiten-Sicherheit (6.4.3, 11.6.1): Inventarisierung und Autorisierung aller Skripts auf der Zahlungsseite, Erkennung von Skript-Änderungen.
- Alle SAQs: Stärkere Anforderungen an Zugriffskontrolle und MFA: Multi-Faktor-Authentifizierung für alle nicht-konsolen-basierten Verwaltungszugänge.
- Alle SAQs: Anforderung einer formellen Risikobewertung mit dokumentierter Methodik.
- SAQ D: Neue Anforderungen für DMARC und E-Mail-Authentifizierung zur Verhinderung von Phishing-Angriffen.
Häufig gestellte Fragen
Muss ein Steuerberater oder Buchhalter PCI DSS-konform sein?
Wenn Ihr Steuerberater oder Buchhalter Zugriff auf Ihre Finanzdaten hat, aber keine Kartendaten verarbeitet, ist er nicht direkt PCI DSS-pflichtig. Wenn Ihr Buchhaltungssystem jedoch mit Systemen verbunden ist, die Kartendaten enthalten, könnten diese Verbindungen Ihr PCI DSS-Scope-Problem komplizieren. Die sichere Lösung ist sicherzustellen, dass Buchhaltungs- und Finanzsysteme niemals PANs enthalten – nur Tokens.
Kann ich das SAQ intern ausfüllen oder brauche ich externe Hilfe?
SAQ A und SAQ A-EP können in der Regel intern ausgefüllt werden, wenn man die eigene Infrastruktur gut kennt. SAQ D ist komplexer: Viele Händler arbeiten mit einem QSA oder Sicherheitsberater zusammen, um sicherzustellen, dass alle Kontrollen korrekt bewertet werden. Für Händler, die SAQ D ausfüllen, lohnt es sich often, die Kosten eines QSA-Beratungsprojekts gegen die Kosten einer Scope-Reduzierung zu verrechnen, die in SAQ A mündet.
Das richtige SAQ wählen und die Selbstbewertung vereinfachen: Mit PCI Proxy EU Tokenisierung ist SAQ A für die meisten Händler erreichbar. PCI Proxy EU entdecken.