PCI DSS

Outsourcing van PCI DSS-conformiteit: hoe het werkt en wat uw verantwoordelijkheid blijft

22 februari 2025 5 min lezen PCI Proxy EU

PCI DSS-Outsourcingis een veelvoorkomend missverstandene Option: Viele Handelaar glauben, dat u via de Nutzung een PSP of een Tokenisierungsplattform Elke PCI-Verantwortung volledig delegieren. Dies is niet richtig. PCI DSS kan nie volledig ausgelagert worden: is Het een residualen Verantwortungsbereich, de altijd beim Handelaar verbleibt, unabhängig davon, Hoe viel Het naar externe Partner delegiert. Het Verständnis de Grenze tussen het, Wat delegiert worden kan, en het, Wat verbleibt, is entscheidend voor een informierte Entscheidung.

Outsourcing van PCI DSS-conformiteit: hoe het werkt en wat uw verantwoordelijkheid blijft

Wat wirklich naar een gecertificeerde Aanbieder delegiert worden kan

Via de Integratie een PCI DSS Level 1 gecertificeerde Tokenisierungsdienstes Hoe PCI Proxy EU kan een Handelaar folgendes effektiv delegieren:

  • Kartendatenspeicherung: PANs worden in het gecertificeerde Vault opgeslagen, niet op Händlersystemen. Vereiste 3 (Bescherming opgeslagen Kaartgegevens) is volledig delegiert.
  • Kryptografisches Schlüsselmanagement: Verschlüsselungsschlüssel, HSM-Management en Schlüsselrotation liegen in de Verantwortung van de Vault-Anbieters.
  • Veilige Kaartgegevensübertragung: Vereiste 4 (Versleuteling bij de Übertragung) is voor de Kartendatenfluss via De Vault abgedeckt.
  • Fysieke Beveiliging van de Vault: Het Rechenzentrum, de HSM-Geräte en de fysieke Zugangskontrolle liegen in de Verantwortung van de Anbieters.
  • PCI-Audit van de Vault: De jaarlijkse Level 1-Audit voor de Vault-Infrastructuur wordt van het Aanbieder durchgeführt en gedocumenteerd in de AOC.

Wat altijd de Verantwortung van de Handelaar blijft

Selbst met volledig ausgelagerter Kartendatenspeicherung verbleiben volgende Pflichten beim Handelaar:

  • Beheer van de Restscopes: Systemen, de met het Vault kommunizieren (Merchant-Server, Checkout-Page, API-Keys) zijn altijd nog Teil van de PCI-Scopes en moeten entsprechend gesichert worden.
  • Zugriffskontrollen en IAM: Vereiste 7 en 8 (Toegang op "Need to Know" beschränken, Benutzeridentitäten verwalten) gelden voor Alle Systemen in het Bereik.
  • Vulnerability Management: Vereiste 6 (Veilige Systemen en Applicaties entwickeln en pflegen) geldt voor Alle Systemen, de Token verwalten of met het Vault kommunizieren.
  • Beleidsregels en Verfahren: Vereiste 12 (Sicherheitsrichtlinien pflegen) moet van het Handelaar geïmplementeerd en gedocumenteerd worden.
  • Incident Response: In het Falle een Datenpanne is de Handelaar verpflichtet, De Vorfall te melden en te untersuchen, ook wanneer de Kompromittierung andere Systemen als De Vault betraf.
  • SAQ-Einreichung: De jaarlijkse Naleving-Zelfbeoordeling blijft de Pflicht van de Handelaar.

De richtige Outsourcing-Strategie: Bereik minimal halten

Het Ziel van de PCI DSS-Outsourcings is niet de Volledige Beseitigung de Naleving-Last, sondern deren Minimierung op een vertretbares en verwaltbares Niveau. Met PCI Proxy EU kan een Handelaar seinen Bereik opSAQ Averkleinen, 22 Vereisten statt über 300 -, Wat de Naleving van een mehrmona tigen Audit-Proces in een Eenvoudige jährlichen administrativen Check verwandelt.

Om een effektive Outsourcing-Strategie te implementeren, zijn drei Stappen vereist: (1) Identifizierung aller aktuellen Kartendatenflüsse in het Bedrijf; (2) Migratie aller Kartenerfassungsflüsse naar de PCI Proxy EU-Oplossing; (3) Documentatie van de verbleibenden Scopes en Einreichung van de SAQ A beim Acquirer. Het Ergebnis is een Systeem, in het de meisten de schwierigen PCI-Vereisten via De Vault-Aanbieder beheert worden en de Handelaar een minimalem Restperimeter kontrolliert.

Veelgestelde vragen

Kan ik sagen "wij zijn PCI-konform, omdat wij PCI Proxy EU gebruiken"?

Niet volledig. De korrekte Aussage is: "Wij hebben onze PCI-bereik via de Nutzung van PCI Proxy EU, een Level 1 gecertificeerde Dienst, erheblich verkleint. Voor De verbleibenden Bereik hebben wij een SAQ A eingereicht en de erforderlichen Controles geïmplementeerd." De Naleving is gemeinsam: PCI Proxy EU deckt de Vault-Komponente ab, de Handelaar deckt De Restscope ab.

Hoe is in het Falle een Datenpanne bij PCI Proxy EU verantwortlich?

PCI Proxy EU heeft vertragliche en regulatorische Verantwortung voor de Beveiliging de in seinem Vault gespeicherten Gegevens. In het Falle een Datenpanne, de De Vault betreft, initieert PCI Proxy EU De Incident-Response-Proces, benachrichtigt betroffene Handelaar en koordiniert met Netzwerken en Behörden. De Handelaar behält seine AVG-Meldepflichten tegenover De Datenschutzbehörden voor de ihn betreffenden personenbezogenen Gegevens.

Hoe zeige ik het Acquirer, dat ik PCI-konform bin, nachdem ik PCI Proxy EU geïntegreerd habe?

Na de Integratie ontvangen U van PCI Proxy EU een AOC (Attestation of Naleving), de U het Acquirer vorlegen kunnen. Ergänzend dazu reichen U een SAQ A (of A-EP) een, het Uw verbleibenden Bereik gedocumenteerd. De Kombination uit AOC van de Dienstes en eigenem SAQ is de Standarddokumentation voor Acquirer, de PCI-Naleving voor Handelaar überprüfen, de tokenisierte Betalingen gebruiken.

Möchten U Uw PCI DSS-Bereik outsourcen en op SAQ A verkleinen?Ontdek PCI Proxy EU.

Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Gerelateerde artikelen

Naleving

Hoe u het PCI DSS-bereik verkleint met tokenisatie

Praktische strategieën om het PCI-bereik te verkleinen en te kwalificeren voor eenvoudigere SAQ's.

 Callcenter

MOTO-betalingen en PCI-naleving

Essentiële gids voor callcenters die telefonische betalingen afhandelen.

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.

Neem contact op Hoe het werkt