background

ROC vs SAQ

Wenn Ihre Organisation Kartendaten akzeptiert, verarbeitet, speichert, überträgt oder die Sicherheit der Kartendateninhaber beeinflusst, dann müssen Sie den PCI-Standards entsprechen. Ihre Acquirer-Banken, Zahlungskartenmarken oder Kunden könnten von Ihnen verlangen, die PCI-Compliance mindestens einmal im Jahr zu erfüllen.

Je nach dem PCI-Level, dem Ihr Unternehmen angehört, wird der Compliance-Bericht entweder ein Compliance-Bericht (RoC) oder ein Selbstbewertungsfragebogen (SAQ) sein.

PCI RoC vs SAQ

Der PCI RoC ist eine externe Prüfung, die von einem qualifizierten Sicherheitsexperten (QSA) oder einem internen Sicherheitsprüfer (ISA) durchgeführt wird, um festzustellen, ob die Richtlinien und Verfahren Ihrer Organisation, die Konfigurationen der Netzwerke und Anwendungen sowie die allgemeinen Sicherheitskontrollen den PCI DSS-Anforderungen entsprechen.

Der PCI SAQ ist eine Reihe von Ja-oder-Nein-Fragen, die die 12 Anforderungen enthalten, die Sie bestätigen müssen, dass Ihre Organisation den PCI DSS-Standards entspricht. Dies kann von Ihrer Organisation abgeschlossen oder von einem QSA überprüft werden, um den Compliance-Status der Organisation mit PCI zu bestimmen.

Es gibt 8 Arten von Selbstbewertungsfragebögen, mit denen Händler und Dienstleister ihre Compliance mit den PCI DSS-Standards nachweisen können.

Empfohlene Lektüre

PCI SAQ: Welcher Selbstbewertungsfragebogen ist für Ihr Unternehmen geeignet?

Read Moreangle-right

Wer braucht einen RoC im Vergleich zu einem SAQ?

Der RoC gilt für Organisationen der Händlerstufe 1 und Dienstleisterstufe 1. Sie sind also berechtigt, einen RoC zu erhalten, wenn Ihre Organisation:

  • Kartenzahlungen im Austausch für Waren und Dienstleistungen akzeptiert UND mehr als 6 Millionen Transaktionen pro Jahr verarbeitet; oder
  • Kartendaten im Namen eines anderen Unternehmens verarbeitet UND mehr als 300.000 Transaktionen pro Jahr verarbeitet.

RoCs sind möglicherweise auch für Händler und Dienstleister erforderlich, die weniger Transaktionen als die oben genannte Schwelle verarbeiten, abhängig von den Risikoanforderungen der Kunden und Banken, mit denen sie zusammenarbeiten.

Wenn Sie nicht in diese Kategorien fallen, müssen Sie einen SAQ ausfüllen.

Wer kann einen RoC im Vergleich zu einem SAQ durchführen?

Ein RoC muss entweder von einem zertifizierten QSA oder einem ISA ausgefüllt werden. Der PCI Security Standards Council stellt Ihnen eine Liste der QSAs zur Verfügung, um Ihnen bei der Suche nach einem in Ihrer Nähe zu helfen.

Die SAQs werden intern von der Organisation durchgeführt, können jedoch von einem QSA überprüft werden, um den Konformitätsstatus der Organisation mit dem PCI zu bestimmen.

Wie oft muss eine Organisation einen RoC im Vergleich zu einem SAQ abschließen?

Die Zahlungsmarken bestimmen die Häufigkeit der Audits, aber im Allgemeinen muss ein Händler oder Dienstanbieter der Stufe 1 jedes Jahr ein vollständiges Audit durchführen und einen RoC abschließen.

Die Zahlungsmarken bestimmen auch die Häufigkeit der SAQs, aber im Allgemeinen müssen Organisationen der Stufe 2 bis 4 jedes Jahr einen ausfüllen. Die meisten Marken verlangen auch, dass diese Organisationen jedes Jahr ein AoC ausfüllen und einreichen.

RoC versus Teile des SAQ

Ein RoC ist in drei Teile unterteilt: eine Zusammenfassung des Managements, eine Zusammenfassung der Ergebnisse und die Konformitätsbescheinigung.

  1. Die Zusammenfassung des Managements beschreibt, wie die Prüfung durchgeführt wurde und was getestet wurde, einschließlich vieler spezifischer Details einer Organisation, wie Diagramme, Details zu Karteninhaberdaten, Details zur Umgebung und Informationen zum Prüfer.
  2. Die Zusammenfassung der Ergebnisse ist der Ort, an dem der QSA dokumentiert, wie er die erforderlichen Kontrollen beobachtet oder inspiziert hat und seine Schlussfolgerungen für jede Anforderung notiert.
  3. Die Konformitätsbescheinigung ist eine Zusammenfassung, die zeigt, welche Anforderungen erfüllt, nicht erfüllt oder nicht anwendbar sind. Hier unterzeichnet der QSA zur Bestätigung der Konformität der Organisation.

Der SAQ hat auch drei Teile:

  1. Eine Unternehmensübersicht, in der Sie die Details Ihres Dienstes und der Datenumgebung der Karteninhaber dokumentieren.
  2. Ein Set von selbstgeführten Fragen, das darauf ausgelegt ist, Ihr Konformitätsniveau zu bewerten.
  3. Eine Konformitätsbescheinigung, die besagt, dass Sie sowohl qualifiziert sind, den SAQ durchzuführen, als auch tatsächlich durchgeführt haben.

RoC vs SAQ Ergebnisse

In PCI DSS 4.0 gibt es unterschiedliche Ergebnisse für den RoC und den SAQ. Diese sind unten aufgeführt.

  • Erfüllt: Die Tests wurden durchgeführt und alle Elemente der Anforderung sind erfüllt.
  • Erfüllt mit Korrekturmaßnahmen (nur SAQ): Die Anforderung wurde zu einem bestimmten Zeitpunkt während der Bewertung nicht erfüllt, aber vor Ende der Bewertung behoben.
  • Erfüllt mit CCW (nur SAQ): Die vorgesehenen Tests wurden durchgeführt und die Anforderung wurde mit Hilfe einer kompensatorischen Kontrolle erfüllt.
  • Nicht anwendbar: Die Anforderung gilt nicht für die Organisation.
  • Nicht getestet: Die Anforderung wurde nicht in die Bewertung einbezogen und wurde in keiner Weise getestet.
  • Nicht erfüllt: Einige oder alle Elemente der Anforderung wurden nicht erfüllt, befinden sich in der Umsetzung oder benötigen weitere Tests.

Eine Organisation wird nicht als konform betrachtet, wenn sie eine Anforderung des PCI DSS nicht erfüllt. Die Validierung ist alles oder nichts; daher müssen alle Anforderungen erfüllt werden, um als PCI-konform zu gelten.

RoC vs SAQ Prozess

Es gibt sechs Hauptschritte, um einen RoC abzuschließen:

  • Schritt 1: Bestimmen Sie den QSA, den Sie verwenden werden, oder den ISA, der die Bewertung durchführen wird.
  • Schritt 2 : Bereiten Sie sich auf die Bewertung vor, indem Sie die Anforderungen, den Umfang und die Kontrollen überprüfen.
  • Schritt 3 : Führen Sie die Bewertung durch.
  • Schritt 4 : Korrigieren Sie die Ergebnisse.
  • Schritt 5 : Reichen Sie die Bescheinigung bei den Interessengruppen ein.
  • Schritt 6 : Halten Sie die Konformität das ganze Jahr über aufrecht.

Der SAQ-Prozess kann ebenfalls in sechs Schritte unterteilt werden.

  • Schritt 1 : Bestimmen Sie, wer intern die Bewertung durchführen wird, oder kontaktieren Sie ein QSA-Unternehmen.
  • Schritt 2 : Bereiten Sie sich auf die Bewertung vor, indem Sie die Anforderungen, den Umfang und die Kontrollen überprüfen.
  • Schritt 3 : Führen Sie die Bewertung durch.
  • Schritt 4 : Korrigieren Sie die Ergebnisse.
  • Schritt 5 : Reichen Sie die Bescheinigung bei den Interessengruppen ein.
  • Schritt 6 : Halten Sie die Konformität das ganze Jahr über aufrecht.

Im Folgenden finden Sie eine Zusammenfassung der Hauptunterschiede zwischen dem RoC und dem SAQ.

RoC SAQ
What is it? An external audit performed by a QSA or ISA A self-assessment questionnaire designed to assess an organization’s level of compliance
Who needs one? Level 1 merchants and service providers Merchants and service providers that do not need a full Level 1 RoC for PCI compliance
Who can conduct one? QSA or ISA An internal party can conduct the assessment and the SAQ can also be reviewed by a QSA
How often should one be completed? Annually (unless a significant change of service occurs) Annually (unless a significant change of service occurs)
What are the major components? -Executive Summary
-Scope of Assessment
-Description of Environment
-Assessment Methodology
-Findings and recommendations
-Attestation of Compliance
-Supporting Documentation
 -Business Information
-Assessment Information
-Self Assessment
-Attestation of Compliance
What are the possible findings? -In place
-Not applicable
-Not tested
-Not in place
 -In place
-In place with a Compensating Control Worksheet
-Not applicable
-Not tested
-Not in place
What is the process for completing one? 1. Determine the QSA you will use or ISA that will perform the assessment.
2. Prepare for the assessment by reviewing requirements, scope and controls.
3. Conduct the assessment.
4. Remediate findings.
5. Submit the attestation to inquiring parties.
6. Maintain compliance throughout the year. 		1. Determine who internally is going to perform the assessment, or reach out to a QSA firm.
2. Prepare for the assessment by reviewing requirements, scope and controls.
3. Conduct the assessment.
4. Remediate findings.
5. Submit the attestation to inquiring parties.
6. Maintain compliance throughout the year.
angle-rightWas sind die potenziellen Geldstrafen und Sanktionen des PCI DSS?

Präsentation von PCI DSS

PCI DSS Anforderungen

PCI DSS-Konformitätsverfahren, Zeitrahmen und Kosten

Automatisierung der PCI-DSS-Konformität

PCI DSS Werkzeuge und Ressourcen