PCI DSS Self-Assessment Questionnaire
Directive Statement
Alle handelaarslocaties of -eenheden die gegevens van kaarthouders opslaan, verwerken of verzenden, moeten een jaarlijkse zelfevaluatie uitvoeren in samenwerking met Payment Card Operations.
Reden voor Richtlijn
Kaarthandelaren aan de Universiteit van Florida zijn verplicht strikte procedures te volgen om de creditcardgegevens van klanten te beschermen en de PCI DSS zo goed mogelijk na te leven. Het niet beschermen van dergelijke informatie kan resulteren in financieel verlies voor klanten, opschorting van creditcardverwerkingsprivileges, boetes opgelegd aan creditcardhandelaren en schade aan de reputatie van de Universiteit.
Wie moet zich hieraan houden?
Alle afdelingen van de Universiteit waarvan het personeel kaarthouderinformatie opslaat, verwerkt of doorgeeft. Dit geldt ook voor afdelingen die de verwerking van betaalkaartinformatie uitbesteden aan externe verkopers.
Overzicht
De PCI DSS Self-Assessment Questionnaire (SAQ) is een validatie-instrument dat bedoeld is om handelaren en dienstverleners te helpen bij de zelfevaluatie van hun naleving van de PCI DSS. Alle handelaren op de campus van de Universiteit van Florida zijn verplicht elk jaar een SAQ in te vullen. Er zijn meerdere versies van de SAQ om aan verschillende scenario’s tegemoet te komen.
| SAQ | Description |
|---|---|
| A | Card-not-present (e-commerce of post/telefoonorder) handelaren, die alle functies met betrekking tot kaarthoudergegevens volledig hebben uitbesteed aan een PCI DSS-conforme derde dienstverlener, zonder elektronische opslag, verwerking of doorgifte van kaarthoudergegevens op de systemen of in de gebouwen van de handelaar. Niet van toepassing op face-to-face-kanalen |
| A-EP | E-commerce-handelaren die alle betalingsverwerking uitbesteden aan PCI DSS gevalideerde derden, en die een website(s) hebben die niet direct kaarthoudergegevens ontvangt (ontvangen), maar die wel van invloed kan (kunnen) zijn op de veiligheid van de betalingstransactie. Geen elektronische gegevensopslag, -verwerking of -verzending van kaarthoudergegevens op de systemen of terreinen van de handelaar. Alleen van toepassing op e-commerce kanalen |
| B | Kooplui die alleen gebruik maken van:
Niet van toepassing op e-commerce kanalen |
| B-IP | Kooplui die alleen gebruik maken van standalone, door het PTS goedgekeurde betaalterminals met een IP-verbinding met de betalingsverwerker zonder elektronische gegevensopslag voor kaarthouders. Niet van toepassing op e-commerce-kanalen |
| C-VT | Kooplui die één transactie tegelijk handmatig via een toetsenbord invoeren in een internetgebaseerde, virtuele betaalterminaloplossing die wordt geleverd en gehost door een PCI DSS gevalideerde third-party service provider. Geen elektronische opslag van kaarthoudergegevens. Niet van toepassing op e-commerce kanalen |
| C | Kooplui met betaaltoepassingssystemen die verbonden zijn met het internet – geen elektronische opslag van kaarthoudergegevens Niet van toepassing op e-commerce kanalen |
| D | SAQ D voor handelaren: Alle handelaren die niet in beschrijvingen voor de bovenstaande SAQ-soorten zijn opgenomen
SAQ D voor dienstverleners: Alle dienstverleners die volgens een betaalmerk in aanmerking komen voor het invullen van een SAQ |
| P2PE | Kooplui die alleen hardware betaalterminals gebruiken die zijn opgenomen in en worden beheerd via een gevalideerde, PCI SSC-lijst opgenomen Point-to-Point Encryption (PP2E) oplossing, zonder opslag van elektronische kaarthoudergegevens. Niet van toepassing op e-commerce kanalen. |
De PCI Security Standards Council stelt de SAQ Instruction Guide ter beschikking als hulpmiddel bij het invullen van de jaarlijkse SAQ.
Definities
Payment Card Industry Data Security Standards (PCI DSS)
De Payment Card Industry Data Security Standard (PCI DSS) is ontwikkeld om de beveiliging van gegevens van kaarthouders aan te moedigen en te verbeteren en om de brede invoering van consistente maatregelen voor gegevensbeveiliging wereldwijd te vergemakkelijken. PCI DSS is van toepassing op alle entiteiten die betrokken zijn bij de verwerking van betaalkaarten, met inbegrip van handelaren, verwerkers, verwervers, emittenten en dienstverleners. PCI DSS is ook van toepassing op alle andere entiteiten die gegevens van kaarthouders opslaan, verwerken of doorgeven.
Last Reviewed
01/31/2021: herziene inhoud