PCI DSS

PCI DSS SAQ A: wat het is, wie het moet invullen en hoe u zich kwalificeert

12 januari 2025 5 min lezen PCI Proxy EU

DePCI DSS SAQ A(Self-Assessment Questionnaire A) is de einfachste Form de PCI DSS-Zelfbeoordeling: Het bevat alleen 22 Vragen en is voor Handelaar gedacht, de uw Betaalpagina volledig naar een gecertificeerde Drittanbieter ausgelagert hebben. Zich voor SAQ A te qualifizieren betekent niet alleen Minder Papierkram, betekent, dat het gehele interne Systeem van de Handelaar uit de CDE herausfällt. Viele Handelaar, de zich voor SAQ D qualifizieren en hunderte Controles verwalten, könnten zich stattdessen met een Eenvoudige Architekturwijziging voor SAQ A qualifizieren.

PCI DSS SAQ A: wat het is, wie het moet invullen en hoe u zich kwalificeert

Wat SAQ A is en Wat vereist

PCI SSC (PCI Security Standaarden Council) heeft mehrere SAQ-Typen definieert, de op verschiedene Handelaar-Akzeptanzszenarien zugeschnitten zijn.SAQ Ageldt voor Handelaar, de Kaartgegevens volledig naar een PCI DSS-gecertificeerde Drittanbieter ausgelagert hebben en selbst geen Kaartgegevens in irgendeiner Form opslaan, verwerken of übertragen. In deze Szenario heeft de Handelaar geen CDE-Systemen: Alle Kaartgegevens worden van het Drittanbieter verwerkt.

De Vereisten van SAQ A zijn absichtlich begrenzt en konzentrieren zich hauptsächlich op:

  • de Beveiliging de Website, op de het Betaalformulier van de Drittanbieters angezeigt wordt
  • Überprüfung, ob de Pagina alleen HTTPS gebruikt en geen Skimming via Script-Injektion anfällig is
  • Bewijs, dat de Drittanbieter PCI DSS-gecertificeerd is
  • fysieke Beveiliging de Omgevingen, de de Website hosten

SAQ A in PCI DSS v4 heeft in het Vergleich te v3.2.1 Nieuwe Vereisten voor de Beveiliging van Scripts op de Betaalpagina ontvangen (Vereiste 6.4.3), om Script-Injection-Aanvallen Hoe Magecart te verhindern. De Handelaar moet Alle op de Betaalpagina geladenen JavaScript-Scripts autoriseren en inventariseren.

SAQ A-Zulassungsvoraussetzungen

Om zich voor SAQ A te qualifizieren, moet een Handelaar Alle volgende Bedingungen vervullen:

  • Alle Kartendatenempfang is ausschließlich naar PCI DSS-gecertificeerde Drittanbieter ausgelagert
  • De Handelaar slaat op, verwerkt of überträgt geen Kaartgegevens op eigenen Systemen of Räumlichkeiten
  • Alle Kartenakzeptanz-Kanäle zijn volledig ausgelagert (geen telefonischer Empfang van Kaartgegevens, geen Invoeren van Kaarten in interne Systemen)
  • De Handelaar-Website mag niet selbst Kaartgegevens ontvangen (het Betaalformulier lädt in een Frame of op een Pagina van de Drittanbieters)
  • De Handelaar is geen direkter Vertragspartner voor het Kartenakzeptanzsystem (Het is niet über een eigenes PCI DSS-zertifiziertes Rechenzentrum verbonden)

Een belangrijke Klarstellung: Niet Alle iFrame-gebaseerde Oplossingen vervullen de SAQ-A-Vereisten. De Betaalpagina moet volledig op de Domain van de Drittanbieters gerendert worden (Hosted Payment Page), of de Frame moet so geïmplementeerd sein, dat de Handelaar nooit PAN-Gegevens uit het Frame onderscheppen kan. Wanneer de Website JavaScript bevat, het Gegevens uit het Frame extrahieren könnte, verliert de Handelaar de SAQ-A-Qualifikation.

Tokenisatie als Weg te SAQ A

Voor Handelaar, de aktuell SAQ C, SAQ D of SAQ C-VT ausfüllen, is Tokenisatie de directe Weg te SAQ A. Wanneer Alle Zahlungsflüsse über een gecertificeerde Drittanbieter (Hoe PCI Proxy EU) geroutet worden, de de Kaartgegevens tokenisiert bevor u interne Systemen erreichen, verlässt de Handelaar de CDE. De interne Systemen zien alleen Tokens, geen PANs.

Concreet betekent het:

  • Online-Checkout: Hosted Payment Page of sicheres iFrame, het PANs direct in de Vault stuurt
  • Telefonkanal: MOTO-Tokenisierungslink, de naar De Klanten verzonden wordt, statt verbale Karteneingabe
  • Backend: CRM, ERP en Buchhaltung arbeiten ausschließlich met Tokens

Na Deze Transformation slaat op, verwerkt en überträgt de Handelaar geen Kaartgegevens Meer: Het qualifiziert zich voor SAQ A. Statt Hunderte van PCI DSS-Controles te verwalten, beantwortet Het 22 Vragen en gebruikt de PCI DSS-Certificering van PCI Proxy EU voor alles andere.

SAQ A vs. SAQ A-EP: De Unterschied kennen

PCI DSS heeft ookSAQ A-EP(A-Extended Perimeter) voor Handelaar, de Betaalpagina's über iFrame of JavaScript-Redirect geïmplementeerd hebben, maar directe Einfluss op de Rendition de Pagina hebben. SAQ A-EP bevat etwa 140 Vragen en is deutlich aufwändiger als SAQ A. De Unterscheidung is technisch:

  • SAQ A: De Betaalpagina lädt volledig op de Domain van de Drittanbieters (Hosted Payment Page), de Handelaar kontrolliert niet, Hoe het Formular gerendert wordt
  • SAQ A-EP: De Handelaar kontrolliert Teile de Zahlungsseitenrendition (eigenes JavaScript lädt voor het Betaalformulier), ook wanneer Kaartgegevens direct naar De Drittanbieter gaan

Ziel is SAQ A, niet SAQ A-EP. Dazu moet de Betaalpagina's-Integratie volledig het Drittanbieter überlassen worden, zonder eigenes JavaScript op de Betaalpagina.

Veelgestelde vragen

Moet ik als SAQ-A-Handelaar nog een Schwachstellenscan durchführen?

SAQ A verlangt geen vierteljährlichen ASV-Schwachstellenscan (Deze is SAQ C en SAQ D vorbehalten). SAQ A v4 verlangt echter de Sicherheitsprüfung de Betaalpagina's-Scripts en regelmatige Überprüfung de Website op Anzeichen van Script-Injection-Aanvallen. De Audit kan intern of via een externen Dienstverlener durchgeführt worden, moet maar gedocumenteerd worden.

Wanneer ik alleen Stripe of PayPal verwende, qualifiziere ik mij voor SAQ A?

Wanneer U ausschließlich de Hosted Payment Pages van Stripe of PayPal gebruiken (Weiterleitung op stripe.com of paypal.com voor de Checkout), qualifizieren U zich in de Regel voor SAQ A. Wanneer U Stripe Elements of PayPal JS SDK in Uw eigenen Pagina gebruiken (d.h. het Betaalformulier op Uw Domain rendert), moeten U möglicherweise SAQ A-EP ausfüllen. Konsultieren U Uw Acquirer naar de Bestätigung.

Wat bedeuten de Nieuwe v4-Vereisten voor SAQ A?

PCI DSS v4 fügte SAQ A de Vereisten 6.4.3 en 11.6.1 hinzu: De Handelaar moet Alle Scripts op de Betaalpagina (ook van Drittanbietern) inventariseren en autoriseren en een Mechanismus implementeren, om Änderungen naar Betaalpagina's-Scripts te erkennen. Deze Vereisten worden eingeführt, om Magecart-Aanvallen te bekämpfen, de Handelaar-Betaalpagina's kompromittieren, zonder de Systemen van de Zahlungsanbieters te berühren.

SAQ A is het Ziel: Met PCI Proxy EU Tokenisatie qualifizieren U zich en verkleinen Uw jaarlijkse PCI DSS-Naleving-Last van Hunderten op 22 Vragen.PCI Proxy EU Ontdekken.

Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Gerelateerde artikelen

Naleving

Hoe u het PCI DSS-bereik verkleint met tokenisatie

Praktische strategieën om het PCI-bereik te verkleinen en te kwalificeren voor eenvoudigere SAQ's.

 Callcenter

MOTO-betalingen en PCI-naleving

Essentiële gids voor callcenters die telefonische betalingen afhandelen.

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.

Neem contact op Hoe het werkt