PCI DSS Self-Assessment Questionnaire
Richtlinie
Alle Händlerstandorte oder -einheiten, die Karteninhaberdaten speichern, verarbeiten oder übermitteln, müssen in Zusammenarbeit mit Payment Card Operations eine jährliche Selbstbewertung durchführen.
Grund für die Richtlinie
Kreditkartenhändler an der Universität von Florida sind verpflichtet, strenge Verfahren zum Schutz der Kreditkartendaten ihrer Kunden einzuhalten und die Einhaltung des PCI DSS zu gewährleisten. Werden diese Daten nicht geschützt, kann dies zu finanziellen Verlusten für die Kunden, zur Suspendierung der Kreditkartenprivilegien, zu Geldstrafen für die Kreditkartenhändler und zur Schädigung des Rufs der Universität führen.
Wer muss sich daran halten?
Alle Abteilungen der Universität, deren Personal Karteninhaberdaten speichert, verarbeitet oder übermittelt. Dies gilt auch für Einheiten, die die Verarbeitung von Zahlungskartendaten an Drittanbieter auslagern.
Übersicht
Der PCI DSS Self-Assessment Questionnaire (SAQ) ist ein Validierungsinstrument, das Händlern und Dienstleistern dabei helfen soll, ihre Konformität mit dem PCI DSS selbst zu bewerten. Alle Händler auf dem Campus der University of Florida sind verpflichtet, jedes Jahr einen SAQ auszufüllen. Es gibt mehrere Versionen des SAQ, um verschiedenen Szenarien gerecht zu werden.
| SAQ | Beschreibung |
|---|---|
| A | Card-not-present-Händler (E-Commerce oder Versand-/Telefonverkauf), die alle Karteninhaberdaten-Funktionen vollständig an PCI DSS-konforme Drittanbieter ausgelagert haben, ohne dass Karteninhaberdaten auf den Systemen oder in den Räumlichkeiten des Händlers elektronisch gespeichert, verarbeitet oder übertragen werden. Nicht anwendbar auf persönliche Kanäle |
| A-EP | E-Commerce-Händler, die die gesamte Zahlungsverarbeitung an PCI DSS-validierte Drittanbieter auslagern und die über eine oder mehrere Websites verfügen, die zwar keine Karteninhaberdaten direkt empfangen, aber die Sicherheit des Zahlungsvorgangs beeinflussen können. Keine elektronische Datenspeicherung, Verarbeitung oder Übertragung von Karteninhaberdaten auf den Systemen oder in den Räumlichkeiten des Händlers. Gilt nur für E-Commerce-Kanäle |
| B | Händler, die nur verwenden:
Gilt nicht für E-Commerce-Kanäle |
| B-IP | Händler, die nur eigenständige, PTS-zugelassene Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler ohne elektronische Speicherung von Karteninhaberdaten verwenden. Nicht anwendbar auf E-Commerce-Kanäle |
| C-VT | Händler, die jeweils eine einzelne Transaktion manuell über eine Tastatur in eine internetbasierte, virtuelle Zahlungsterminal-Lösung eingeben, die von einem PCI DSS-validierten Drittanbieter bereitgestellt und gehostet wird. Keine elektronische Speicherung von Karteninhaberdaten. Nicht anwendbar auf E-Commerce-Kanäle |
| C | Händler mit Zahlungsanwendungssystemen, die mit dem Internet verbunden sind – keine elektronische Speicherung von Karteninhaberdaten Nicht anwendbar auf E-Commerce-Kanäle |
| D | SAQ D für Händler: Alle Händler, die nicht in den Beschreibungen für die oben genannten SAQ-Typen enthalten sind
SAQ D für Dienstleister: Alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, eine SAQ auszufüllen |
| P2PE | Händler, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, PCI SSC-gelisteten Point-to-Point Encryption (PP2E)-Lösung enthalten sind und über diese verwaltet werden, ohne dass elektronische Karteninhaberdaten gespeichert werden. Nicht anwendbar auf E-Commerce-Kanäle. |
Der PCI Security Standards Council stellt den SAQ Instruction Guide zur Verfügung, um das Ausfüllen des jährlichen SAQ zu unterstützen.
Definitionen
Payment Card Industry Data Security Standards (PCI DSS)
Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um die Sicherheit der Daten von Karteninhabern zu fördern und zu verbessern und die breite Einführung einheitlicher Datensicherheitsmaßnahmen weltweit zu erleichtern. PCI DSS gilt für alle Unternehmen, die an der Verarbeitung von Zahlungskarten beteiligt sind, einschließlich Händlern, Verarbeitern, Acquirern, Emittenten und Dienstleistungsanbietern. PCI DSS gilt auch für alle anderen Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.
Letzte Überprüfung
31.01.2021: überprüfter Inhalt