PCI DSS Self-Assessment Questionnaire

Richtlinie

Alle Händlerstandorte oder -einheiten, die Karteninhaberdaten speichern, verarbeiten oder übermitteln, müssen in Zusammenarbeit mit Payment Card Operations eine jährliche Selbstbewertung durchführen.

Grund für die Richtlinie

Kreditkartenhändler an der Universität von Florida sind verpflichtet, strenge Verfahren zum Schutz der Kreditkartendaten ihrer Kunden einzuhalten und die Einhaltung des PCI DSS zu gewährleisten. Werden diese Daten nicht geschützt, kann dies zu finanziellen Verlusten für die Kunden, zur Suspendierung der Kreditkartenprivilegien, zu Geldstrafen für die Kreditkartenhändler und zur Schädigung des Rufs der Universität führen.

Wer muss sich daran halten?

Alle Abteilungen der Universität, deren Personal Karteninhaberdaten speichert, verarbeitet oder übermittelt. Dies gilt auch für Einheiten, die die Verarbeitung von Zahlungskartendaten an Drittanbieter auslagern.

Übersicht

Der PCI DSS Self-Assessment Questionnaire (SAQ) ist ein Validierungsinstrument, das Händlern und Dienstleistern dabei helfen soll, ihre Konformität mit dem PCI DSS selbst zu bewerten. Alle Händler auf dem Campus der University of Florida sind verpflichtet, jedes Jahr einen SAQ auszufüllen. Es gibt mehrere Versionen des SAQ, um verschiedenen Szenarien gerecht zu werden.

SAQ Beschreibung
A Card-not-present-Händler (E-Commerce oder Versand-/Telefonverkauf), die alle Karteninhaberdaten-Funktionen vollständig an PCI DSS-konforme Drittanbieter ausgelagert haben, ohne dass Karteninhaberdaten auf den Systemen oder in den Räumlichkeiten des Händlers elektronisch gespeichert, verarbeitet oder übertragen werden.
Nicht anwendbar auf persönliche Kanäle
A-EP E-Commerce-Händler, die die gesamte Zahlungsverarbeitung an PCI DSS-validierte Drittanbieter auslagern und die über eine oder mehrere Websites verfügen, die zwar keine Karteninhaberdaten direkt empfangen, aber die Sicherheit des Zahlungsvorgangs beeinflussen können. Keine elektronische Datenspeicherung, Verarbeitung oder Übertragung von Karteninhaberdaten auf den Systemen oder in den Räumlichkeiten des Händlers.
Gilt nur für E-Commerce-Kanäle
B Händler, die nur verwenden:

  • Druckmaschinen ohne elektronische Datenspeicherung und/oder
  • Standalone, Dial-Out-Terminals ohne elektronische Speicherung von Karteninhaberdaten

Gilt nicht für E-Commerce-Kanäle

B-IP Händler, die nur eigenständige, PTS-zugelassene Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler ohne elektronische Speicherung von Karteninhaberdaten verwenden.
Nicht anwendbar auf E-Commerce-Kanäle
C-VT Händler, die jeweils eine einzelne Transaktion manuell über eine Tastatur in eine internetbasierte, virtuelle Zahlungsterminal-Lösung eingeben, die von einem PCI DSS-validierten Drittanbieter bereitgestellt und gehostet wird. Keine elektronische Speicherung von Karteninhaberdaten.
Nicht anwendbar auf E-Commerce-Kanäle
C Händler mit Zahlungsanwendungssystemen, die mit dem Internet verbunden sind – keine elektronische Speicherung von Karteninhaberdaten
Nicht anwendbar auf E-Commerce-Kanäle
D SAQ D für Händler: Alle Händler, die nicht in den Beschreibungen für die oben genannten SAQ-Typen enthalten sind

SAQ D für Dienstleister: Alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, eine SAQ auszufüllen

P2PE Händler, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, PCI SSC-gelisteten Point-to-Point Encryption (PP2E)-Lösung enthalten sind und über diese verwaltet werden, ohne dass elektronische Karteninhaberdaten gespeichert werden.
Nicht anwendbar auf E-Commerce-Kanäle.

Der PCI Security Standards Council stellt den SAQ Instruction Guide zur Verfügung, um das Ausfüllen des jährlichen SAQ zu unterstützen.

Definitionen

Payment Card Industry Data Security Standards (PCI DSS)

Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um die Sicherheit der Daten von Karteninhabern zu fördern und zu verbessern und die breite Einführung einheitlicher Datensicherheitsmaßnahmen weltweit zu erleichtern. PCI DSS gilt für alle Unternehmen, die an der Verarbeitung von Zahlungskarten beteiligt sind, einschließlich Händlern, Verarbeitern, Acquirern, Emittenten und Dienstleistungsanbietern. PCI DSS gilt auch für alle anderen Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.

Letzte Überprüfung

31.01.2021: überprüfter Inhalt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.