PCI DSS SAQ D voor handelaren die kaarthoudergegevens elektronisch opslaan

, Author

SAQ’s (Self-Assessment Questionnaires) zijn een van de manieren waarop handelaren tegenover acquiring banks en de PCI Security Standard Council (PCI SSC) kunnen aantonen dat zij PCI DSS naleven. Er zijn acht SAQ’s, die ongelooflijk belangrijk zijn voor de manier waarop je gegevens van kaarthouders veilig houdt: A, A-EP, B, B-IP, C, C-VT, D, en P2PE.

Nu we zes van de bestaande Self-Assessment Questionnaires hebben doorgenomen, is PCI DSS SAQ D aan de beurt.

Deze Self-Assessment Questionnaire is toevallig de grootste die een organisatie kan invullen (alle andere vragen van de SAQ’s zijn uit deze vragenlijst overgenomen) en daarom is het ongelooflijk belangrijk dat u er absoluut zeker van bent dat u hem moet invullen. U wilt niet uren bezig zijn met het invullen van de vragenlijst om later te moeten constateren dat het de verkeerde is!

Wie moet de Self-Assessment Questionnaire D invullen?

Deze vragenlijst is van toepassing op alle soorten handelaren, dus de eenvoudigste manier om te bepalen of u de vragenlijst moet invullen (en de eerste vraag die u zichzelf moet stellen voordat u dat doet) is of u al dan niet gegevens van kaarthouders digitaal opslaat.

Dit kan inhouden dat u gegevens online opslaat in verband met e-handelstransacties of dat u een telemarketingbedrijf bent dat kaarthoudergegevens via de telefoon verwerkt, waarna die telefoongesprekken worden opgeslagen en bewaard (bv. voor opleidingsdoeleinden of kwaliteitscontrole).

Een andere vraag die u zichzelf moet stellen, is of de andere SAQ’s al dan niet op u van toepassing zijn. SAQ’s hebben zeer specifieke criteria (SAQ A is bijvoorbeeld bestemd voor handelaren die de verwerking van kaarthoudergegevens uitbesteden en SAQ B voor handelaren die gegevens via een inbelverbinding verzenden). Als uw organisatie dus niet aan de criteria van een andere SAQ-vragenlijst voldoet, moet u SAQ D invullen. In vragenlijst D staat specifiek dat “de vragenlijst bestemd is voor handelaren die niet aan de criteria van een ander SAQ-type voldoen”.

Deze lijst met criteria voor handelaren biedt enkele aanvullende aanwijzingen:

  • E-commerce merchants die kaarthoudergegevens op hun website accepteren;
  • Merchants met elektronische opslag van kaarthoudergegevens;
  • Merchants die geen kaarthoudergegevens elektronisch opslaan, maar die niet aan de criteria van een ander SAQ-type voldoen;
  • Merchants met omgevingen die aan de criteria van een ander SAQ-type zouden kunnen voldoen, maar die aanvullende PCI DSS-vereisten hebben die op hun omgeving van toepassing zijn.

De andere belangrijke reden om deze vragenlijst in te vullen, is dat u een dienstverlener bent (gedefinieerd als elk bedrijf dat een dienst verleent in verband met betaalkaarten, bv. als uw organisatie met handelaren of zelfs banken werkt). Dienstverleners hoeven niet naar de criteria van de andere SAQ’s te kijken, omdat zij SAQ D standaard moeten invullen; er is geen andere SAQ voor hen.

Wat voor vragen staan er in deze vragenlijst?

Toen we zeiden dat Self-Assessment Questionnaire D één groot document is, maakten we geen grapje!

Over het geheel genomen bevat SAQ D 263 vragen die u moet beantwoorden, wat een absoluut fenomenaal aantal is. De vragen zijn echter opgesplitst en onderverdeeld naar de 12 verschillende PCI-vereisten, wat het iets gemakkelijker maakt om ze door te nemen – en we moeten ook opmerken dat de vragen precies hetzelfde zijn voor handelaren en dienstverleners.

Meer nog, elke vraag kan worden beantwoord met “Nee”, “Ja”, “Ja met CCW” (Compensating Control Worksheet) of N/A (Not Applicable) en, als u “Nee” antwoordt op een van de vragen, biedt de vragenlijst ook informatie over hoe u dat specifieke probleem kunt oplossen en uw organisatie compliant kunt maken.

Hier volgen enkele voorbeelden van vragen die u in de vragenlijst kunt vinden:

  • Wordt het PAN afgeschermd weergegeven (de eerste zes en de laatste vier cijfers zijn het maximumaantal cijfers dat mag worden weergegeven), zodat alleen personeel met een legitieme zakelijke behoefte het volledige PAN kan zien?
  • De volledige inhoud van elk spoor (van de magneetstrip op de achterkant van een kaart, equivalente gegevens op een chip, of elders) wordt niet opgeslagen na autorisatie?
  • Is er een proces om kwetsbaarheden in de beveiliging te identificeren, inclusief het volgende: Het gebruik van gerenommeerde externe bronnen voor informatie over kwetsbaarheden? Het toekennen van een risicorangorde aan kwetsbaarheden, met inbegrip van de identificatie van alle kwetsbaarheden met een “hoog” risico en “kritieke” kwetsbaarheden?
  • Is gedocumenteerde goedkeuring door geautoriseerde partijen vereist, met vermelding van de vereiste rechten?
  • Is twee-factor authenticatie ingebouwd voor netwerktoegang van buiten het netwerk door personeel (inclusief gebruikers en beheerders) en alle derden (inclusief toegang door leveranciers voor ondersteuning of onderhoud)?

Slaat uw organisatie kaarthoudergegevens elektronisch op?

Zoveel vragen in SAQ D, het lijkt misschien een moeilijke, onmogelijke taak. Maar met de hulp van een QSA (Qualified Security Assessor) die deskundig is op het gebied van PCI DSS-naleving, kunt u erachter komen wat de juiste vragenlijst voor uw bedrijf is en PCI-naleving bereiken zonder stress.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.