DePCI DSS Zelfbeoordeling(SAQ, Self-Assessment Questionnaire) is de Methode, met de de meisten Handelaar uw jaarlijkse PCI DSS-naleving aantonen. is Het acht verschiedene SAQ-Typen, en het Ausfüllen van de falschen SAQ kan bedeuten, dat man entweder te viele Controles beheert of, schlimmer, de eigene Naleving-Situation falsch darstellt. Deze Gids legt uit, Welke SAQ op Uw Situation zutrifft en Hoe U De Aufwand via Bereik-Reduzierung minimieren kunnen.
De verschiedenen SAQ-Typen legt uit
PCI SSC heeft specifieke SAQ-Typen voor verschiedene Handelaar-Akzeptanzszenarien entwickelt:
- SAQ A (22 Vragen): Handelaar, de Alle Kaartgegevens volledig naar een PCI DSS-gecertificeerde Drittanbieter ausgelagert hebben. Geen eigene CDE, geen elektronisches Opslaan, Verwerken of Übertragen van Kaartgegevens.
- SAQ A-EP (ca. 140 Vragen): Handelaar, de Betaalpagina's über iFrame of JavaScript-Redirect geïmplementeerd hebben, maar directe Einfluss op de Rendition de Pagina hebben.
- SAQ B (40 Vragen): Handelaar, de ausschließlich Imprint-Maschinen of eigenständige Dial-up-Terminals zonder elektronische Kartendatenspeicherung gebruiken.
- SAQ B-IP (ca. 80 Vragen): Handelaar met PTS-zugelassenen POI-Geräten met een IP-Verbindung naar het Zahlungsdienstleister.
- SAQ C-VT (ca. 80 Vragen): Handelaar, de virtuelle Terminals op PCs gebruiken en geen Kaartgegevens elektronisch opslaan.
- SAQ C (ca. 160 Vragen): Handelaar met Zahlungsanwendungssystemen, de met het Internet verbonden zijn, maar geen Kaartgegevens elektronisch opslaan.
- SAQ P2PE (ca. 35 Vragen): Handelaar, de PCI SSC-validierte P2PE-Oplossingen gebruiken.
- SAQ D (ca. 350 Vragen): Alle anderen Handelaar, de niet in de obigen Kategorien passen. Dies is de umfangreichste Zelfbeoordeling.
Hoe man het richtige SAQ voor zich wählt
De Wahl van de richtigen SAQ hängt niet van de Größe van de Bedrijfs- ab, sondern davon,Hoe Kaartgegevens akzeptiert en verwerkt worden. De entscheidenden Vragen zijn:
- Opslaan, verwerken of übertragen meine eigenen Systemen irgendwelche Kaartgegevens?
- Hebben meine Server directe Toegang op PANs (ook wanneer u alleen durchgeleitet worden)?
- Nehme ik Kaarten telefonisch entgegen en gebe de Gegevens manuell een?
- Is Het een directe Verbindung tussen meinen interne Systemen en Zahlungsverarbeitungssystemen?
Wanneer Alle Antwoorden "Nein" lauten en de Betaalpagina volledig van een PCI DSS-gecertificeerde Aanbieder betrieben wordt, is SAQ A het Ziel. Wanneer interne Systemen Kaartgegevens berühren, moet man mindestens SAQ C en möglicherweise SAQ D ausfüllen.
Van SAQ D op SAQ A: De Vereinfachungsstraße
Viele Handelaar füllen aktuell SAQ C of SAQ D uit, obwohl u zich met een Architekturwijziging voor SAQ A qualifizieren könnten. De Weg voert über Tokenisatie:
- Online-Checkout: Statt een benutzerdefinierten Zahlungsformulars op eigener Domain gebruikt man een Hosted Payment Page of een sicheres iFrame van de PCI-Anbieters. De PAN gaat direct in de Vault van de Anbieters, nie in eigene Server.
- Telefoon-/MOTO-Kanaal: Statt dat de Medewerker de Kaartnummer in een internes Systeem invoert, ontvangt de Klant een veilige Zahlungslink per SMS of E-Mail en is Het de Kaart selbst een. Geen PAN-Contact in het eigenen Systeem.
- Backend-Systemen: CRM, ERP, Buchhaltung arbeiten ausschließlich met Tokens statt met PANs. Geen Kaartgegevens in interne Databases.
Na Deze Transformation kan de Handelaar ehrlich "Nein" op Alle Vragen antwoorden, de De eigenen Contact met Kaartgegevens betreffen. Het qualifiziert zich voor SAQ A: 22 Vragen statt 350.
Wat PCI DSS v4 voor de Zelfbeoordeling ändert
PCI DSS v4 heeft sommige Änderungen naar De SAQ's eingeführt, de voor 2025 verbindlich zijn:
- SAQ A: Nieuwe Vereisten voor Betaalpagina's-Beveiliging(6.4.3, 11.6.1): Inventarisierung en Autorisatie aller Scripts op de Betaalpagina, Detectie van Skript-Änderungen.
- Alle SAQ's: Stärkere Vereisten naar Zugriffskontrolle en MFA: Multi-factor-authenticatie voor Alle niet-console-gebaseerde Beheerstoegangen.
- Alle SAQ's: Vereiste een formellen Risikobewertungmet dokumentierter Methodik.
- SAQ D: Nieuwe Vereisten voor DMARC en E-mailauthenticatienaar de Verhinderung van Phishing-Aanvallen.
Veelgestelde vragen
Moet een Steuerberater of Buchhalter PCI DSS-konform sein?
Wanneer Uw Steuerberater of Buchhalter Toegang op Uw Finanzdaten heeft, maar geen Kaartgegevens verwerkt, is Het niet direct PCI DSS-pflichtig. Wanneer Uw Buchhaltungssystem echter met Systemen verbonden is, de Kaartgegevens bevatten, könnten Deze Verbindungen Uw PCI DSS-Bereik-Probleem komplizieren. De veilige Oplossing is sicherzustellen, dat Buchhaltungs- en Finanzsysteme nooit PANs bevatten, alleen Tokens.
Kan ik het SAQ intern ausfüllen of brauche ik externe Hulp?
SAQ A en SAQ A-EP kunnen in de Regel intern ausgefüllt worden, wanneer man de eigene Infrastructuur gut kennt. SAQ D is komplexer: Viele Handelaar arbeiten met een QSA of Sicherheitsberater zusammen, om sicherzustellen, dat Alle Controles korrekt bewertet worden. Voor Handelaar, de SAQ D ausfüllen, lohnt zich often, de Kosten een QSA-Beratungsprojekts tegen de Kosten een Bereik-Reduzierung te verrechnen, de in SAQ A mündet.
Het richtige SAQ wählen en de Zelfbeoordeling vereinfachen: Met PCI Proxy EU Tokenisatie is SAQ A voor de meisten Handelaar erreichbar.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op