PCI DSS SAQ D för handlare som lagrar kortinnehavaruppgifter elektroniskt

, Author

SAQ:s (Self-Assessment Questionnaires) är ett sätt för handlare att validera sin PCI DSS-efterlevnad för förvärvande banker och för PCI Security Standard Council (PCI SSC). Det finns åtta SAQ:s att välja mellan: A, A-EP, B, B-IP, C, C-VT, D och P2PE.

När vi nu har gått igenom sex av de befintliga frågeformulären för självutvärdering är nästa fråga PCI DSS SAQ D.

Detta frågeformulär för självutvärdering råkar vara det största som en organisation kan ta (alla andra SAQ:s frågor är hämtade från detta frågeformulär) och därför är det otroligt viktigt att du är helt säker på att du ska ta det. Du vill inte ägna timmar åt att fylla i det nu, bara för att senare inse att det är fel!

Vem bör ta frågeformuläret för självbedömning D?

Detta särskilda frågeformulär gäller alla typer av handlare, så det enklaste sättet att avgöra om du bör ta det (och den första frågan du bör ställa dig själv innan du gör det) är om du lagrar kortinnehavarnas uppgifter digitalt eller inte.

Detta kan innefatta lagring av uppgifter online i samband med e-handelstransaktioner eller om du är ett telemarketingföretag som hanterar kortinnehavaruppgifter via telefon, och då lagras och sparas dessa telefonsamtal (t.ex. i utbildningssyfte eller för kvalitetskontroll).

En annan fråga som du bör ställa dig själv är om de andra SAQ:erna är tillämpliga på dig eller inte. SAQ har mycket specifika kriterier (SAQ A är till exempel för handlare som lägger ut funktioner för behandling av kortinnehavaruppgifter på entreprenad och SAQ B är för dem som överför uppgifter via en uppringd anslutning), så om din organisation inte uppfyller kriterierna för något annat SAQ-frågeformulär bör du ta SAQ D. I frågeformulär D står det uttryckligen att ” är för handlare som inte uppfyller kriterierna för någon annan SAQ-typ”.

Denna lista över kriterier för handlare ger några ytterligare tips:

  • Handlare inom e-handel som tar emot kortinnehavaruppgifter på sin webbplats;
  • Handlare med elektronisk lagring av kortinnehavaruppgifter;
  • Handlare som inte lagrar kortinnehavaruppgifter elektroniskt men som inte uppfyller kriterierna för en annan SAQ-typ;
  • Handlare med miljöer som kan uppfylla kriterierna för en annan SAQ-typ, men som har ytterligare PCI DSS-krav som är tillämpliga på deras miljö.

Den andra viktiga anledningen till att du tar del av detta frågeformulär är att du är en tjänsteleverantör (definierat som ett företag som tillhandahåller en tjänst med anknytning till betalkort, t.ex. om din organisation arbetar med handlare eller till och med banker). Tjänsteleverantörer behöver inte titta på kriterierna i de andra frågeformulären eftersom de måste ta SAQ D som standard; det finns inget annat frågeformulär för dem.

Vilken typ av frågor finns i frågeformuläret?

När vi sa att frågeformuläret för självutvärdering D är ett enormt dokument, så skojade vi inte!

Sammanlagt har SAQ D 263 frågor som du ska besvara, vilket är en helt fenomenal mängd. Frågorna är dock uppdelade och sektionerade efter de 12 olika PCI-kraven, vilket gör dem lite lättare att ta sig igenom – och vi bör också notera att frågorna är exakt likadana för handlare och tjänsteleverantörer.

För övrigt kan varje fråga besvaras med ”Nej”, ”Ja”, ”Ja med CCW” (Compensating Control Worksheet) eller N/A (Not Applicable), och om du svarar ”Nej” på någon av frågorna erbjuder frågeformuläret också information om hur du kan åtgärda det specifika problemet och få din organisation att uppfylla kraven.

Här är några exempel på frågor som du kan hitta i frågeformuläret:

  • Är PAN maskerad när den visas (de sex första och fyra sista siffrorna är det maximala antalet siffror som får visas) så att endast personal med ett legitimt affärsbehov kan se hela PAN?
  • Det fullständiga innehållet i alla spår (från magnetremsan på kortets baksida, motsvarande data som finns på ett chip eller någon annanstans) lagras inte efter auktorisering?
  • Insisterar det en process för att identifiera säkerhetsbrister, inklusive följande: Använda välrenommerade externa källor för information om sårbarheter? Att tilldela sårbarheterna en riskklassning som innefattar identifiering av alla sårbarheter med ”hög” risk och ”kritiska” sårbarheter?
  • Krävs dokumenterat godkännande av behöriga parter, med angivande av erforderliga privilegier?
  • Integreras tvåfaktorsautentisering för fjärrnätverksåtkomst som kommer utifrån av personal (inklusive användare och administratörer) och alla tredje parter (inklusive leverantörsåtkomst för support eller underhåll)?

Lagrar din organisation kortinnehavaruppgifter elektroniskt?

Med så många frågor som ingår i SAQ D kan det tyckas som en svår, omöjlig uppgift. Men med hjälp av en QSA (Qualified Security Assessor) som är expert på efterlevnad av PCI DSS kan det bli en stressfri process att ta reda på vilket frågeformulär som är rätt för ditt företag och uppnå PCI-överensstämmelse.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Lämna ett svar

Din e-postadress kommer inte publiceras.