PCI SAQs: Welcher Selbstbewertungsfragebogen ist der richtige für Ihr Unternehmen?

  • December 13, 2023

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsanforderungen, die für alle Händler und Dienstleister gelten, die Karteninhaberdaten speichern, verarbeiten, übertragen oder die Sicherheit von Karteninhaberdaten beeinflussen können.

Es gibt verschiedene Compliance-Stufen, die vom PCI Security Standards Council (PCI SSC) basierend auf der Menge der Kartentransaktionen definiert wurden, die die Organisation beeinflussen könnte. Diese Stufen haben unterschiedliche Berichtsanforderungen.

Da Level-1-Händler und -Dienstleister die höchste Anzahl an Karteninhaberdaten-Transaktionen beeinflussen, gelten sie als die risikoreichsten und haben wahrscheinlich die strengsten Berichtsanforderungen, was dazu führt, dass ein Report on Compliance (RoC) erforderlich ist. Alle anderen Stufen müssen einen Selbstbewertungsfragebogen (SAQ) ausfüllen.

Wenn Sie Ihr PCI-Level bestimmt haben und nur einen SAQ ausfüllen müssen, sind Sie hier genau richtig. Wir erklären die verschiedenen Arten von SAQs und helfen Ihnen herauszufinden, welcher für Ihr Unternehmen gilt.

Was ist ein PCI SAQ?

PCI SAQ steht für Payment Card Industry Self-Assessment Questionnaire. Die Selbstbewertung ist eine Anforderung für Händler und Dienstleister, die keinen vollständigen Compliance-Bericht benötigen.

Der SAQ besteht aus zwei Teilen:

  1. Ein Satz selbstgeführter Fragen, die darauf ausgelegt sind, Ihr Compliance-Niveau zu bewerten.
  2. Ein Attestation of Compliance (AoC), das entweder Ihr Unternehmen oder eine Qualified Assessor firm (QSA) benötigt, um Ihre PCI DSS-Compliance zu bestätigen.

Der SAQ erfordert, dass Sie bestätigen, dass Ihre Organisation die PCI DSS-Standards erfüllt. Mit einer Reihe von Ja- oder Nein-Fragen beschreibt der SAQ jede PCI-Anforderung und die erwarteten Tests und fragt dann, ob die Kontrolle:

  • Vorhanden ist
  • Vorhanden ist mit einem Compensating Control Worksheet oder CCW*
  • Nicht vorhanden ist
  • Nicht zutreffend
  • Nicht getestet ist

Kompensierende Kontrollen werden nur dann in Betracht gezogen, wenn eine Organisation eine Anforderung aufgrund technischer oder geschäftlicher Zwänge nicht genau so erfüllen kann, wie sie formuliert ist, aber ausreichend darüber hinausgegangen ist, um das Risiko zu mindern.

Wenn Sie eine der Fragen mit "nicht vorhanden" beantworten, müssen Sie erklären, welche Pläne Sie zur Behebung der Lücke haben und den erwarteten Zeitrahmen angeben. Sie müssen jede Kontrolle erfüllen, um PCI DSS-konform zu sein.

Der ultimative Leitfaden zu PCI DSS

Erfahren Sie alles, was Sie über die Anforderungen, den Prozess und die Kosten für die Erlangung und Aufrechterhaltung der PCI DSS-Zertifizierung wissen müssen.

PCI DSS SAQ-Typen

Es gibt 8 Arten von Selbstauskunftsfragebögen für Händler und Dienstleister, um ihre PCI DSS-Compliance zu dokumentieren und zu bestätigen. Welchen Sie ausfüllen müssen, hängt davon ab, ob Sie ein Händler oder Dienstleister sind und welche Art von Händler Sie sind. Finden Sie unten einen Überblick über jeden SAQ-Typ für die neueste Version des PCI DSS — PCI DSS v4.0.

Überblick über die 8 PCI SAQ-Typen

SAQ A

SAQ A ist für Händler, die nur E-Commerce- oder Versand-/Telefonbestelltransaktionen akzeptieren, bei denen Zahlungskarten nicht vorhanden sind, und die gesamte Verarbeitung von Kontodaten an PCI DSS-konforme Dritte auslagern.

Es werden keine Kontodaten elektronisch in den Systemen oder Räumlichkeiten von SAQ A-Händlern gespeichert, verarbeitet oder übertragen. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ A-EP

SAQ A-EP ist für Händler, die nur E-Commerce-Transaktionen akzeptieren und die gesamte Verarbeitung von Kontodaten an PCI DSS-konforme Dritte auslagern, mit Ausnahme der Seite zum Erfassen von Kontodaten. Händler, die SAQ A-EP einhalten, haben E-Commerce-Websites, die selbst keine Kontodaten erhalten, aber kontrollieren, wie Kunden, oder ihre Kontodaten, an den Drittanbieter weitergeleitet werden. Aus diesem Grund beeinflusst der Händler die Sicherheit der Zahlungstransaktion und/oder die Integrität der Seite, die die Kontodaten des Kunden entgegennimmt.

Es werden keine Karteninhaberdaten elektronisch in den Systemen oder Räumlichkeiten von SAQ A-EP-Händlern gespeichert, verarbeitet oder übertragen. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ B

SAQ B ist für Händler, die Kontodaten nur mit Prägemaschinen und/oder eigenständigen Wählterminals verarbeiten. Sie können stationäre oder Versand-/Telefonbestellhändler sein.

Es werden keine Kontodaten elektronisch in den Systemen oder Räumlichkeiten von SAQ B-Händlern gespeichert. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ B-IP

SAQ B ist für Händler, die Kontodaten nur mit eigenständigen, PIN-Transaktionssicherheits-(PTS-)Eingabegeräten (POI) mit einer IP-Verbindung zum Zahlungsprozessor verarbeiten. Sie können stationäre oder Versand-/Telefonbestellhändler sein.

Wie bei SAQ B-Händlern werden keine Kontodaten elektronisch in den Systemen oder Räumlichkeiten von SAQ B-IP-Händlern gespeichert. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ C

SAQ C ist für Händler, die Kontodaten nur mit Zahlungssystemen verarbeiten, die mit dem Internet verbunden sind. Sie können stationäre oder Versand-/Telefonbestellhändler sein.

Es werden keine Kontodaten elektronisch in den Systemen oder Räumlichkeiten von SAQ C-Händlern gespeichert. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ C-VT

SAQ C-VT ist für Händler, die Kontodaten nur mit virtuellen Zahlungsterminals verarbeiten, die von einem gemäß PCI DSS validierten Drittanbieter bereitgestellt und gehostet werden und auf einem isolierten Computergerät mit Internetzugang zugegriffen werden. Mit anderen Worten, diese Händler geben einzelne Transaktionen manuell über eine Tastatur in eine internetbasierte virtuelle Terminallösung ein. Sie können stationäre oder Versand-/Telefonbestellhändler sein.

Es werden keine Kontodaten elektronisch in den Systemen oder Räumlichkeiten von SAQ C-VT-Händlern gespeichert. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ P2PE

SAQ P2PE ist für Händler, die Kontodaten nur mit Zahlungsterminals verarbeiten, die in einer validierten und PCI-gelisteten Point-to-Point-Encryption-(P2PE-)Lösung enthalten und verwaltet werden. Sie können stationäre oder Versand-/Telefonbestellhändler sein.

Es werden keine Kontodaten elektronisch in den Systemen oder Räumlichkeiten von SAQ P2PE-Händlern gespeichert. Wenn Kontodaten aufbewahrt werden, befinden sie sich auf Papier wie ausgedruckten Berichten oder Quittungen.

SAQ D

SAQ D ist für alle Händler, die nicht in eine der oben genannten Kategorien passen, und alle Dienstleister, die berechtigt sind, einen SAQ auszufüllen.

Entscheidung, welchen SAQ Sie für die Konformität benötigen

Die Bestimmung, welche Art von SAQ Sie ausfüllen müssen, hängt hauptsächlich von zwei Faktoren ab: der Definition, ob Sie ein Dienstleister oder ein Händler sind, und davon, wie Sie Karteninhaberdaten behandeln.

Wenn Sie ein Dienstleister sind, müssen Sie den SAQ D ausfüllen. Wenn Sie ein Händler sind, wird Ihr SAQ-Typ basierend darauf festgelegt, wie Ihre Organisation Karteninhaberdaten verarbeitet.

Die folgende Tabelle zeigt die Zulassungskriterien für jede Art von SAQ. Händler müssen alle Anforderungen eines bestimmten SAQ erfüllen, um diesen verwenden zu können.

Type of SAQ Type of merchant Account data scope Electronic account data storage allowed
SAQ A E-commerce and mail order/telephone order (card not present) Outsource all payment processing to PCI DSS validated and compliant third parties No
SAQ A-EP E-commerce Outsource all payment processing to PCI DSS validated and compliant third parties, with the exception of the page that accepts account data No
SAQ B Brick-and-mortar (card present) and mail order/telephone order (card not present) Via imprint machines and/or standalone, dial-out terminals (connected via a phone line to the merchant processor) No
SAQ B-IP Brick-and-mortar and mail order/telephone order Via PTS POI devices with an IP connection to the payment processor No
SAQ C Brick-and-mortar and mail order/telephone order Via payment application systems (ex. Point of sale systems) connected to the Internet No
SAQ C-VT Brick-and-mortar and mail order/telephone order Via third-party virtual payment terminal solutions on an isolated computing device connected to the Internet No
SAQ P2PE Brick-and-mortar and mail order/telephone order Via a validated PCI-listed P2PE solution No
SAQ D All merchants who are eligible to complete an SAQ but do not meet the criteria for any other SAQ type

Note: This is the only type of SAQ that applies to service providers who are eligible to complete an SAQ.
May process account data on their website May have electronic account data storage

Wenn Sie sich immer noch nicht sicher sind, welcher SAQ am besten für Ihre Konformitätsanforderungen geeignet ist, können Sie detailliertere Anleitungen von Ihrer Acquiring-Organisation, Ihrer Händlerbank, Ihrer Zahlungsmarke oder Ihrem qualifizierten Sicherheitsbewerter (QSA) anfordern.

Vereinfachen Sie Ihren PCI DSS Self-Assessment Questionnaire

Egal ob SAQ A oder SAQ D, Sie müssen dennoch alle PCI DSS-Anforderungen erfüllen — dazu können Hunderte von Sicherheitskontrollen, Anforderungen an die Verschlüsselung von Kontodaten, formell veröffentlichte PCI DSS-Richtlinien, Schwachstellenscans und ein Penetrationstest gehören.

Secureframe kann helfen, den Prozess zu straffen. Unser Team interner Konformitätsexperten hilft Ihnen, das PCI DSS-Rahmenwerk zu verstehen, und unsere Plattform automatisiert die Sammlung von Nachweisen, überwacht Ihre Kontrollen kontinuierlich und bietet Ihnen eine Plattform zum Verwalten von Lieferantenrisiken.

Um zu erfahren, wie Sie schnell Ihre gesamte Informationssicherheitslage bewerten und stärken können, die Kreditkartendaten Ihrer Kunden sichern und die PCI DSS-Anforderungen mit Secureframe erfüllen können, fordern Sie heute eine Demo an.

FAQs

Was ist ein PCI SAQ?

Ein PCI SAQ, oder Self-Assessment Questionnaire der Zahlungsverkehrsbranche, ist eine Reihe von Ja- oder Nein-Fragen, die alle 12 Anforderungen enthalten, die Händler und Dienstleister erfüllen müssen, um zu bestätigen, dass ihre Organisation die PCI DSS-Standards erfüllt. Ein PCI SAQ ist eine Anforderung für Händler und Dienstleister, die keinen vollständigen Compliance-Bericht benötigen.

Wie oft müssen Sie den PCI SAQ ausfüllen?

Zahlungsmarken legen die Häufigkeit der PCI SAQs fest, aber im Allgemeinen sollten Organisationen der Stufen 2-4 einmal jährlich einen ausfüllen.

Wer muss einen PCI SAQ A ausfüllen?

E-Commerce- oder Mail-/Telefonbestellhändler, die keine Kontodaten in elektronischem Format auf ihren Systemen oder Räumlichkeiten speichern, verarbeiten oder übertragen, müssen einen PCI SAQ A ausfüllen.

Was ist der Unterschied zwischen PCI SAQ A und PCI SAQ A EP?

Der Hauptunterschied besteht darin, dass PCI SAQ A-Händler die gesamte Zahlungsabwicklung an Dritte auslagern, während PCI SAQ A EP-Händler ihren E-Commerce-Zahlungskanal teilweise an PCI DSS-zertifizierte und konforme Dritte auslagern. Außerdem ist PCI SAQ A für E-Commerce- oder Mail-/Telefon-Bestellhändler gedacht, während PCI SAQ A EP nur für E-Commerce-Händler vorgesehen ist.