PCI DSS as a Serviceis een de op het weitesten verbreiteten Naleving-Modelle in Europa, maar ook een de op het meisten missverstandenen. Viele Handelaar denken, dat de Delegation de Naleving naar een Aanbieder de gehele Verantwortung überträgt. De Realität is anders: Sommige PCI DSS-Verantwortlichkeiten verbleiben altijd rechtlich beim Handelaar, unabhängig davon, Hoe viele Komponenten ausgelagert worden. Te wissen, Waar Deze Grenze genau liegt, is unerlässlich, om Überraschungen bij een Audit of na een Datenpanne te vermijden.
Wat PCI DSS as a Service is en Wat tatsächlich abdeckt
PCI DSS-Outsourcingin het Technische Sinne betekent de Delegation van de Managements deCDE(Cardholder Data Environment) naar een PCI DSS Level 1 gecertificeerde Aanbieder. De Aanbieder übernimmt de Verantwortung voor Alle Technische en organisatorischen Controles, de seinen Perimeter betreffen: Versleuteling van Kaartgegevens, kryptografisches Schlüsselmanagement met een gecertificeerdeHSM, Sicherheitsmonitoring, Penetratietests, Sicherheitsupdates en Documentatie voor het jaarlijkse Audit. De Handelaar moet Deze Komponenten niet selbst zertifizieren: De Certificering van de Anbieters deckt deze Teil de Infrastructuur ab.
MetTokenisatie als Service in Europaschrumpft de PCI-Perimeter van de Handelaar dramatisch. Geschäftssysteme ontvangen alleen Tokens, geen PANs, en verlassen damet de PCI-Perimeter voor Komponenten, de geen Kaartgegevens verwerken. Dies maakt het mogelijk het Handelaar, eenSAQ Astatt een Volledige Report on Naleving af te ronden, met Tijd- en Kosteneinsparungen, de in de Praxis Zehntausende van Euro pro Jaar bedeuten. De Aanbieder beheert ook Updates op de aktuelle Versie van de Standaarden (derzeit PCI DSS v4) en stelt veilig, dat de delegierte Perimeter altijd konform blijft.
Wat U nie delegieren kunnen: de Restverantwortung van de Handelaar
Selbst beim vollständigsten As-a-Service-Modell verbleiben sommige Verantwortlichkeiten altijd beim Handelaar. Benutzerzugriffsverwaltung op eigene Systemen, interne Sicherheitsrichtlinien, Schulung van de Personals te Sicherheitsrisiken, Überwachung eigener Anwendungsprotokolle en Management van Sicherheitsvorfällen, de de eigene Infrastructuur betreffen (ook wanneer u geen Kaartgegevens bevat), zijn allesamt Gebieden, de niet naar een externen Aanbieder delegiert worden kunnen.
In het Falle een Datenpanne, de Kaartgegevens betreft, de van het Aanbieder gehalten worden, verbleibt de vertragliche en rechtliche Haftung tegenover Endkunden beim Handelaar als Verantwortlichem gemäß AVG. De Aanbieder haftet voor seinen Teil, maar de Handelaar kan zich niet van de Verantwortung tegenover seinen Klanten befreien. Deshalb moeten Verträge met PCI DSS-Anbietern klare Klauseln te Haftung, Meldungen bij Datenpannen en Versicherungsgarantien bevatten.
Kostenvergleich: Eigenregie vs. PCI DSS as a Service
Een Handelaar, de seine eigene CDE intern beheert, steht voor erheblichen fixen en variablen Kosten. Op de fixen Pagina: toegewijde Infrastructuur (Server, HSM, gecertificeerde Firewalls), spezialisiertes Sicherheitspersonal (mindestens een Vollzeit-Sicherheitsingenieur), jährliches QSA-Audit (tussen30.000 en 80.000 €voor Level 1), halbjährliche Penetratietests (van5.000 tot 20.000 €pro Einsatz). Op de variablen Pagina: Sanierungskosten voor elke bij Audits gefundenen Mangel, Infrastrukturaktualisierungen aufgrund Nieuwe Standardanforderungen.
Beim As-a-Service-Modell verkleint zich de Aufwand op een maandelijkse of transaktionsbasierte Gebühr, de met het Volumen skaliert. Het Audit van de eigenen reduzierten Perimeters (typischerweise een SAQ A) vereist sommige Uren interner Arbeit statt Weken. is Het geen te verwaltende Infrastructuur, geen spezialisiertes Personal einzustellen en geen Sanierungskosten voor de delegierten Perimeter. Voor de meisten Europese Bedrijf met Minder als6 Millionen jährlichen Transactieswordt de Gewinnschwelle tegenover de Eigenregie in het Eerste Nutzungsmonat erreicht.
Veelgestelde vragen
Moet ik met PCI DSS as a Service nog het SAQ ausfüllen?
Ja, maar op viel einfachere Weise. Bij een via Tokenisatie reduzierten Bereik kunnen de meisten Handelaar een SAQ A ausfüllen, het de kürzeste en op het wenigsten anspruchsvolle Fragebogen is, de anwendbar is, wanneer geen Kaartgegevens via de Systemen van de Handelaar fließen. De Fertigstellung dauert sommige Uren statt de Weken, de komplexere SAQ's vereisen.
Funktioniert het As-a-Service-Modell ook voor Level 1-Handelaar?
Ja. Selbst een Level 1-Handelaar kan seinen Perimeter via Delegation de CDE erheblich verkleinen. Het Audit blijft obligatorisch (RoC met QSA), maar de te prüfende Perimeter is viel kleiner. Viele Level 1-Handelaar gebruiken het As-a-Service-Modell gerade om het jaarlijkse Audit te vereinfachen en de Kosten te verkleinen.
Hoe lange dauert de Aktivierung van de Dienstes?
De Technische integratie van PCI Proxy EU dauert voor een Team met REST-API-Erfahrung typischerweise3-10 Werktage. De Proces umfasst de Unterzeichnung van de Vertrags, De Toegang naar de Sandbox naar het Testen, de Produktionsintegration en de funktionale Überprüfung. is geen zusätzliche Infrastructuur van het Handelaar vereist.
Möchten U De Technische Teil de PCI DSS-Naleving delegieren en alleen de Verantwortlichkeiten behalten, de rechtlich beim Handelaar verbleiben?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op