Ein Selbstbewertungsfragebogen (SAQ) ist ein Validierungsinstrument, mit dem Ihre Einhaltung der DSS -Anforderungen DSS Payment Card Industry Data Security Standard) bewertet wird.
Alle Händler, die Kartenzahlungen akzeptieren, müssen jährlich einen SAQ ausfüllen, um nachzuweisen, dass sie die Daten der Karteninhaber sicher behandeln, wie vom PCI Security Standards Council (PCI SSC) vorgeschrieben:
PCI DSS .0 SAQ D – Abschnitt 11.3.2.1
(Erforderlicher Nachweis in jedem SAQ, das für mit dem Internet verbundene Umgebungen gilt)
„Jeder SAQ-Typ, der für Händler mit Internetverbindung gilt, enthält eine Kontrolle zur Überprüfung der Einhaltung der Anforderung 11.3.2.1.“
— PCI Security Standards Council (PCI SSC)
Es gibt mehrere SAQ-Typen (A, A-EP, B, B-IP, C, C-VT, D, P2PE), die jeweils auf unterschiedliche Zahlungsabwicklungsszenarien zugeschnitten sind. Der von Ihnen benötigte Typ hängt ab von:
- Wie Sie Kartenzahlungen akzeptieren (E-Commerce, Terminal, manuelle Eingabe usw.)
- Ob Karteninhaberdaten durch Ihre Systeme fließen
- Ihre Zahlungsabwicklung Band
SAQ Aist für Händler gedacht, die alle Funktionen im Zusammenhang mit Karteninhaberdaten vollständig an DSS Drittanbieter ausgelagert haben. Diese Händler speichern, verarbeiten oder übertragen keine Karteninhaberdaten auf ihren Systemen oder in ihren Räumlichkeiten. Dieses SAQ gilt für E-Commerce- oder Versand-/Telefonbestellhändler (ohne Vorlage der Karte) und gilt nicht für persönliche Verkaufskanäle.
SAQ A-EPist für E-Commerce-Händler gedacht, die die gesamte Zahlungsabwicklung an DSS Dritte auslagern, aber über eine Website verfügen, die die Sicherheit der Zahlungsvorgänge beeinträchtigen kann. Diese Händler speichern, verarbeiten oder übertragen keine Karteninhaberdaten auf ihren Systemen oder in ihren Räumlichkeiten.
SAQ Bgilt für Händler, die ausschließlich Imprint-Geräte oder eigenständige Dial-Out-Terminals ohne elektronische Speicherung von Karteninhaberdaten verwenden. Dieses SAQ gilt nicht für E-Commerce-Kanäle.
SAQ B-IPist für Händler gedacht, die nur eigenständige, PTS-zugelassene Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler verwenden und keine elektronische Speicherung von Karteninhaberdaten vornehmen. Dieses SAQ gilt nicht für E-Commerce-Kanäle.
SAQ C-VTist für Händler gedacht, die einzelne Transaktionen manuell über eine Tastatur in eine internetbasierte Virtuelles Terminal eingeben, die von einem DSS Drittanbieter bereitgestellt und gehostet wird. Diese Händler speichern keine elektronischen Karteninhaberdaten.
SAQ Cist für Händler gedacht, deren Zahlungsanwendungssysteme mit dem Internet verbunden sind, die jedoch keine elektronischen Karteninhaberdaten speichern. Dieses SAQ gilt nicht für E-Commerce-Kanäle.
SAQ P2PEist für Händler gedacht, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, PCI SSC-gelisteten Point-to-Point-Verschlüsselungslösung (P2PE) enthalten sind und über diese verwaltet werden, ohne dass elektronische Karteninhaberdaten gespeichert werden. Dieses SAQ gilt nicht für E-Commerce-Kanäle.
SAQ D für Händlergilt für alle Händler, die nicht unter die Beschreibungen der oben genannten SAQ-Typen fallen. Dazu gehören Händler, die Karteninhaberdaten elektronisch speichern, verarbeiten oder übertragen.
SAQ D für Dienstleisterrichtet sich an alle Dienstleister, die von einer Zahlungsmarke als berechtigt definiert wurden, einen Fragebogen zur Selbstbewertung auszufüllen. Dieser SAQ ist die einzige Option für Dienstleister und umfasst die elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten.
PCI Portal
Unser PCI Portal die Durchführung und Umsetzung der Ergebnisse von SAQs und erleichtert so die Einhaltung DSS .
Erfahren Sie mehr über Portal PCI Portal Melden Sie sich beim PCI Portal an
