SAQs (Self-Assessment Questionnaires) sind eine Möglichkeit für Händler, ihre PCI DSS-Konformität gegenüber Acquiring-Banken und dem PCI Security Standard Council (PCI SSC) zu bestätigen. Es gibt acht SAQs, die für den Schutz der Daten von Karteninhabern unglaublich wichtig sind: A, A-EP, B, B-IP, C, C-VT, D und P2PE.
Nachdem wir Ihnen bisher sechs der vorhandenen Self-Assessment Questionnaires vorgestellt haben, steht als nächstes PCI DSS SAQ D an.
Dieser Selbstbewertungsfragebogen ist der umfangreichste, den eine Organisation überhaupt ausfüllen kann (alle anderen Fragen der SAQs sind diesem Fragebogen entnommen), und daher ist es unglaublich wichtig, dass Sie sich absolut sicher sind, dass Sie ihn ausfüllen sollten. Sie wollen nicht Stunden damit verbringen, ihn jetzt auszufüllen, nur um später festzustellen, dass es der falsche ist!
Wer sollte den Selbstbewertungsfragebogen D ausfüllen?
Dieser spezielle Fragebogen gilt für alle Arten von Händlern, so dass der einfachste Weg, um festzustellen, ob Sie ihn ausfüllen sollten (und die erste Frage, die Sie sich stellen sollten, bevor Sie ihn ausfüllen), darin besteht, ob Sie Karteninhaberdaten digital speichern oder nicht.
Dazu kann die Online-Speicherung von Daten im Zusammenhang mit E-Commerce-Transaktionen gehören, oder wenn Sie ein Telemarketing-Unternehmen sind, das Karteninhaberdaten per Telefon verarbeitet und diese Telefonanrufe gespeichert werden (z. B. zu Schulungszwecken oder zur Qualitätsprüfung).
Eine weitere Frage, die Sie sich stellen sollten, ist, ob die anderen SAQs auf Sie zutreffen. SAQs haben sehr spezifische Kriterien (z.B. SAQ A ist für Händler, die Funktionen zur Verarbeitung von Karteninhaberdaten auslagern, und SAQ B ist für solche, die Daten über eine Wählverbindung übertragen), und wenn Ihr Unternehmen die Kriterien eines anderen SAQ-Fragebogens nicht erfüllt, sollten Sie SAQ D nehmen. Der Fragebogen D besagt ausdrücklich, dass er „für Händler ist, die die Kriterien für keinen anderen SAQ-Typ erfüllen“.
Diese Liste der Händlerkriterien gibt einige zusätzliche Hinweise:
- E-Commerce-Händler, die Karteninhaberdaten auf ihrer Website akzeptieren;
- Händler mit elektronischer Speicherung von Karteninhaberdaten;
- Händler, die Karteninhaberdaten nicht elektronisch speichern, aber die Kriterien eines anderen SAQ-Typs nicht erfüllen;
- Händler mit Umgebungen, die zwar die Kriterien eines anderen SAQ-Typs erfüllen, aber zusätzliche PCI DSS-Anforderungen für ihre Umgebung haben.
Der andere wichtige Grund, diesen Fragebogen auszufüllen, ist, dass Sie ein Service Provider sind (definiert als jedes Unternehmen, das eine Dienstleistung im Zusammenhang mit Zahlungskarten anbietet, z.B. wenn Ihre Organisation mit Händlern oder sogar Banken zusammenarbeitet). Dienstleister brauchen sich die Kriterien der anderen SAQs nicht anzusehen, da sie standardmäßig den SAQ D ausfüllen müssen; es gibt keinen anderen SAQ für sie.
Welche Arten von Fragen enthält dieser Fragebogen?
Als wir sagten, dass der Selbstbeurteilungsfragebogen D ein riesiges Dokument ist, haben wir wirklich nicht gescherzt!
Insgesamt enthält der SAQ D 263 Fragen, die Sie beantworten müssen, was eine absolut phänomenale Menge ist. Allerdings sind die Fragen nach den 12 verschiedenen PCI-Anforderungen aufgeteilt und unterteilt, was es etwas einfacher macht, sie zu beantworten – und wir sollten auch anmerken, dass die Fragen für Händler und Dienstleister genau die gleichen sind.
Außerdem kann jede Frage mit „Nein“, „Ja“, „Ja mit CCW“ (Compensating Control Worksheet) oder N/A (Not Applicable) beantwortet werden, und wenn Sie eine der Fragen mit „Nein“ beantworten, bietet der Fragebogen auch Informationen darüber, wie Sie dieses spezielle Problem beheben und Ihr Unternehmen konform machen können.
Hier einige Beispiele für Fragen, die Sie im Fragebogen finden können:
- Ist die PAN maskiert, wenn sie angezeigt wird (die ersten sechs und die letzten vier Ziffern sind die maximale Anzahl von Ziffern, die angezeigt werden dürfen), so dass nur Mitarbeiter mit einer legitimen geschäftlichen Notwendigkeit die vollständige PAN sehen können?
- Der vollständige Inhalt einer Spur (vom Magnetstreifen auf der Rückseite einer Karte, entsprechende Daten auf einem Chip oder anderswo) wird nach der Autorisierung nicht gespeichert?
- Gibt es ein Verfahren zur Ermittlung von Sicherheitsschwachstellen, einschließlich der folgenden Punkte: Nutzung seriöser externer Quellen für Informationen über Sicherheitslücken? Zuweisung einer Risikoeinstufung für Schwachstellen, die die Identifizierung aller Schwachstellen mit „hohem“ Risiko und „kritischen“ Schwachstellen beinhaltet?
- Ist eine dokumentierte Genehmigung durch autorisierte Stellen erforderlich, die die erforderlichen Berechtigungen festlegt?
- Ist eine Zwei-Faktor-Authentifizierung für den Fernzugriff auf das Netzwerk von außerhalb des Netzwerks durch Mitarbeiter (einschließlich Benutzer und Administratoren) und alle Dritten (einschließlich des Zugriffs von Anbietern zu Support- oder Wartungszwecken) eingebaut?
Speichert Ihre Organisation Karteninhaberdaten elektronisch?
Bei so vielen Fragen in SAQ D mag es wie eine schwierige, unmögliche Aufgabe erscheinen. Aber mit Hilfe eines QSA (Qualified Security Assessor), der ein Experte für die Einhaltung des PCI DSS ist, kann das Herausfinden des richtigen Fragebogens für Ihr Unternehmen und das Erreichen der PCI-Konformität ein stressfreier Prozess werden.