Posted on

PCI DSS SAQ D for handlende, der opbevarer kortholderdata elektronisk

, Author

SAQ’er (Self-Assessment Questionnaires) er en måde, hvorpå handlende kan bekræfte deres overholdelse af PCI DSS over for de erhvervende banker og PCI Security Standard Council (PCI SSC). Der er otte SAQ’er at vælge imellem, som er utroligt vigtige for, hvordan du beskytter kortholderdata: A, A-EP, B, B-IP, C, C-VT, D og P2PE.

Da vi indtil videre har gennemgået seks af de eksisterende Self-Assessment Questionnaires, er det næste spørgsmål PCI DSS SAQ D.

Dette selvvurderingsspørgeskema er tilfældigvis det største, som en organisation kan tage (alle andre SAQ’ernes spørgsmål er taget fra dette spørgeskema), og derfor er det utroligt vigtigt, at du er helt sikker på, at du skal tage det. Du ønsker ikke at bruge timer på at udfylde det nu for senere at opdage, at det er det forkerte!

Hvem skal tage spørgeskemaet til selvevaluering D?

Dette særlige spørgeskema gælder for alle typer af erhvervsdrivende, så den nemmeste måde at se, om du skal tage det (og det første spørgsmål, du bør stille dig selv, før du gør det), er, om du opbevarer kortholderdata digitalt eller ej.

Det kan omfatte lagring af data online i forbindelse med e-handelstransaktioner, eller hvis du er et telemarketingfirma, der håndterer kortholderdata over telefonen, og disse telefonsamtaler derefter lagres og gemmes (f.eks. til uddannelsesformål eller kvalitetskontrol).

Et andet spørgsmål, du bør stille dig selv, er, om de andre SAQ’er gælder for dig eller ej. SAQ’erne har meget specifikke kriterier (SAQ A er f.eks. for købmænd, der outsourcer funktioner til behandling af kortholderdata, og SAQ B er for købmænd, der overfører data via en opkaldsforbindelse), så hvis din organisation ikke opfylder kriterierne for andre SAQ-spørgeskemaer, bør du tage SAQ D. Spørgeskema D angiver specifikt, at ” er for købmænd, der ikke opfylder kriterierne for nogen anden SAQ-type”.

Denne liste over kriterier for købmænd indeholder nogle yderligere henvisninger:

  • Handelsvirksomheder, der accepterer kortholderdata på deres websted;
  • Handelsvirksomheder med elektronisk opbevaring af kortholderdata;
  • Handelsvirksomheder, der ikke opbevarer kortholderdata elektronisk, men som ikke opfylder kriterierne for en anden SAQ-type;
  • Handelsvirksomheder med miljøer, der måske opfylder kriterierne for en anden SAQ-type, men som har yderligere PCI DSS-krav, der gælder for deres miljø.

Den anden vigtige grund til at udfylde dette spørgeskema er, at du er en tjenesteudbyder (defineret som enhver virksomhed, der leverer en tjeneste i forbindelse med betalingskort, f.eks. hvis din organisation arbejder med handlende eller endda banker). Tjenesteudbydere behøver ikke at se på kriterierne i de andre SAQ’er, da de som standard skal tage SAQ D; der er ikke noget andet SAQ for dem.

Hvilken slags spørgsmål er der i dette spørgeskema?

Da vi sagde, at Self-Assessment Questionnaire D er ét stort dokument, var det virkelig ikke for sjov!

Samlet set har SAQ D 263 spørgsmål, som du skal besvare, hvilket er et helt fænomenalt antal. Spørgsmålene er dog opdelt og sektioneret efter de 12 forskellige PCI-krav, hvilket gør dem lidt nemmere at komme igennem – og vi skal også bemærke, at spørgsmålene er nøjagtig de samme for købmænd og tjenesteudbydere.

Dertil kommer, at hvert spørgsmål kan besvares med “Nej”, “Ja”, “Ja med CCW” (Compensating Control Worksheet) eller N/A (Not Applicable), og hvis du svarer “Nej” til et af spørgsmålene, giver spørgeskemaet også oplysninger om, hvordan du kan løse det pågældende problem og gøre din organisation i overensstemmelse med kravene.

Her er nogle eksempler på de spørgsmål, som du kan finde i spørgeskemaet:

  • Er PAN’en maskeret, når den vises (de første seks og de sidste fire cifre er det maksimale antal cifre, der må vises), således at kun personale med et legitimt forretningsmæssigt behov kan se den fulde PAN?
  • Det fulde indhold af ethvert spor (fra magnetstriben på bagsiden af et kort, tilsvarende data på en chip eller andetsteds) gemmes ikke efter autorisation?
  • Er der en proces til at identificere sikkerhedssårbarheder, herunder følgende: Brug af velrenommerede eksterne kilder til oplysninger om sårbarheder? tildeling af en risikoklasse til sårbarheder, der omfatter identifikation af alle sårbarheder med “høj” risiko og “kritiske” sårbarheder?
  • Er der krav om dokumenteret godkendelse af autoriserede parter med angivelse af de nødvendige rettigheder?
  • Er der indbygget to-faktor-autentifikation for fjernnetværksadgang, der stammer udefra, for personale (herunder brugere og administratorer) og alle tredjeparter (herunder leverandøradgang til support eller vedligeholdelse)?

Lagerer din organisation kortholderdata elektronisk?

Med så mange spørgsmål i SAQ D kan det virke som en vanskelig, umulig opgave. Men med hjælp fra en QSA (Qualified Security Assessor), der er ekspert i PCI DSS-overholdelse, kan det blive en stressfri proces at finde ud af, hvad det rigtige spørgeskema er for din virksomhed, og opnå PCI-overholdelse.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.