Damit du dir LINA Pay einrichten kannst, benötigt Adyen die sogenannte PCI PowerForm.

Das hat den schlichten Hintergrund, dass Adyen sehr viel Wert auf Sicherheit bei Zahlungen liegt und du deinem Geld damit niemals hinterher rennen musst.


Nachfolgend findest du alle Daten vom PCI-Dokument inkl. deutscher Übersetzung und Erklärung der einzelnen Schritte.



Klicke auf das Bild um es dir größer anzeigen zu lassenDeutsche ÜbersetzungAnforderung auf dieser Seite

Zahlungskartenindustrie (PCI) 

Standard für Datensicherheit

Fragebogen zur Selbsteinschätzung A

und Bestätigung der Einhaltung


Signiert:

Kontoname:

Partner:


Händler, die keine Karten akzeptieren, 

Alle Funktionen für Karteninhaberdaten vollständig ausgelagert

Zur Verwendung mit PCI DSS Version 3.2.1

Juni 2018


Bitte scrollen Sie zum Ende des Formulars, um den SAQ A 

zu unterschreiben, der basierend auf Ihren obigen 

Antworten ausgefüllt wurde



Dokument Änderungen

Datum PCI DSS 

Version

SAQ 

Revision Beschreibung

--------------------------------------------

Oktober 2008 1.2 Angleichung des Inhalts an den neuen PCI DSS v1.2 und 

Umsetzung kleinerer Änderungen seit der ursprünglichen Version 1.1.

--------------------------------------------

Oktober 2010 2.0 Angleichung des Inhalts an die neuen Anforderungen des PCI DSS v2.0 

und Testverfahren.

--------------------------------------------

Februar 2014 3.0

Anpassung des Inhalts an die Anforderungen und Prüfverfahren des PCI DSS v3.0 

und Prüfverfahren und Aufnahme zusätzlicher Antwort 

Antwortmöglichkeiten.

--------------------------------------------

April 2015 3.1 Aktualisiert zur Angleichung an PCI DSS v3.1. Für Details zu den PCI 

DSS-Änderungen finden Sie unter PCI DSS - Zusammenfassung der Änderungen 

von PCI DSS Version 3.0 zu 3.1.

--------------------------------------------

Juli 2015 3.1 1.1 Aktualisierte Versionsnummerierung zur Angleichung an andere SAQs. 

--------------------------------------------

April 2016 3.2 1.0 Aktualisiert, um mit PCI DSS v3.2 übereinzustimmen. Für Details zu den PCI 

DSS-Änderungen finden Sie unter PCI DSS - Zusammenfassung der Änderungen 

von PCI DSS Version 3.1 zu 3.2.

Anforderungen aus PCI DSS v3.2 hinzugefügt Anforderungen 

2, 8 und 12. 

--------------------------------------------

Januar 2017 3.2 1.1 Aktualisiertes Dokument Änderungen zur Klarstellung von Anforderungen 

die in der Aktualisierung vom April 2016 hinzugefügt wurden.

Hinweis zum Abschnitt "Before You Begin" hinzugefügt, um die Absicht 

der Einbeziehung der PCI DSS-Anforderungen 2 und 8.

--------------------------------------------

Juni 2018 3.2.1 1.0 Aktualisiert, um mit PCI DSS v3.2.1 übereinzustimmen. Für Details zu den PCI 

DSS-Änderungen, siehe PCI DSS - Zusammenfassung der Änderungen 

von PCI DSS Version 3.2 zu 3.2.1.

Anforderung 6.2 aus PCI DSS v3.2.1 hinzugefügt


In diesem Abschnitt geht es um die einzelnen Versionen des PCI-Dokumentes. 

Verzeichnis der Inhalte

Änderungen am Dokument .....................................................................................................................................i

Bevor Sie beginnen .......................................................................................................................................iii

Schritte zur Durchführung der PCI DSS-Selbsteinschätzung ......................................................................................iv

Verständnis des Fragebogens zur Selbsteinschätzung ...........................................................................iv

Erwartete Tests ................................................................................................................................... iv

Ausfüllen des Selbsteinschätzungsfragebogens ..................................................................................v

Hinweise zur Nichtanwendbarkeit bestimmter, spezifischer Anforderungen....................................................v

Rechtliche Ausnahmen ....................................................................................................................................v

Abschnitt 1: Informationen zur Bewertung001

....................................................................................................................................

Abschnitt 2: Fragebogen zur Selbstbeurteilung A .....................................................................................4

Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme.............................................................................4

Anforderung 2: Verwenden Sie keine herstellerseitigen Standardwerte für Systemkennwörter und andere Sicherheitsparameter 

Parameter..................................................................................................................4

Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen ....................................................................................5

Anforderung 6: Entwickeln und pflegen Sie sichere Systeme und Anwendungen ............................................5

Starke Maßnahmen zur Zugriffskontrolle implementieren........................................................................................6

Anforderung 8: Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten ...........................................6

Anforderung 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten ...............................................................7

Aufrechterhaltung einer Informationssicherheitspolitik ................................................................................................9


Anforderung 12: Führen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter behandelt .....................9

Anhang A: Zusätzliche PCI DSS-Anforderungen ................................................................................11

Anhang A1: Zusätzliche PCI DSS-Anforderungen für Shared Hosting-Anbieter............................11

Anhang A2: Zusätzliche PCI DSS-Anforderungen für Einrichtungen, die SSL/frühes TLS für Card-Present 

POS POI-Terminal-Verbindungen .................................................................................11

Anhang A3: Ergänzende Validierung für benannte Stellen (DESV) ..............................................11

Anhang B: Arbeitsblatt für kompensierende Kontrollen..............................................................................12

Anhang C: Erläuterung der Nichtanwendbarkeit...................................................................................13

Abschnitt 3: Validierungs- und Bescheinigungsdetails ....................................................................................14





Bevor Sie beginnen

SAQ A wurde entwickelt, um die Anforderungen zu erfüllen, die für Händler gelten, deren Karteninhaberdaten 

Karteninhaberdaten vollständig an validierte Dritte ausgelagert sind, bei denen der Händler nur Papierberichte 

Berichte oder Quittungen mit Karteninhaberdaten aufbewahrt.

SAQ A-Händler können entweder E-Commerce-Händler oder Versand-/Telefonhändler sein (card-not-present), und 

keine Karteninhaberdaten in elektronischem Format auf ihren Systemen oder in ihren Geschäftsräumen speichern, verarbeiten oder übertragen. 

SAQ A-Händler bestätigen, dass sie für diesen Zahlungsweg:

▪ Ihr Unternehmen akzeptiert nur kartenlose Transaktionen (E-Commerce oder Versand-/Telefonbestellungen);

▪ die gesamte Verarbeitung von Karteninhaberdaten vollständig an PCI DSS-validierte Drittdienstleister ausgelagert ist 

Dienstleistern ausgelagert;

▪ Ihr Unternehmen speichert, verarbeitet oder übermittelt keine Karteninhaberdaten elektronisch auf Ihren 

Systemen oder in Ihren Räumlichkeiten elektronisch gespeichert oder übertragen, sondern verlässt sich bei all diesen Funktionen vollständig auf einen oder mehrere Drittanbieter;

Ihr Unternehmen hat bestätigt, dass alle Drittparteien, die mit der Speicherung, Verarbeitung und/oder Übertragung von 

Übermittlung von Karteninhaberdaten PCI DSS-konform sind; und

▪ Alle Karteninhaberdaten, die Ihr Unternehmen aufbewahrt, sind auf Papier (z. B. gedruckte Berichte oder Quittungen), 

und diese Dokumente werden nicht elektronisch empfangen.

Für E-Commerce-Kanäle gilt außerdem Folgendes


▪ Alle Elemente der Zahlungsseite(n), die an den Browser des Verbrauchers übermittelt werden, stammen ausschließlich und direkt von einem PCI DSS-validierten Drittdienstleister.

Diese SAQ ist nicht auf persönliche Kanäle anwendbar.


Diese verkürzte Version der SAQ enthält Fragen, die für eine bestimmte Art von kleinen Händlern gelten 

Umgebung gelten, wie in den obigen Zulassungskriterien definiert. Wenn es PCI DSS-Anforderungen gibt, die für 

Umgebung gelten, die in diesem SAQ nicht abgedeckt sind, kann dies ein Hinweis darauf sein, dass dieses SAQ für Ihre Umgebung nicht geeignet ist. 

Ihre Umgebung nicht geeignet ist. Darüber hinaus müssen Sie weiterhin alle geltenden PCI DSS-Anforderungen erfüllen, um 

PCI DSS-konform zu sein.


Hinweis: Für diese SAQ gelten die PCI DSS-Anforderungen, die den Schutz von Computersystemen betreffen (z. B. 

z. B. die Anforderungen 2, 6 und 8) gelten für E-Commerce-Händler, die Kunden von ihrer 

Website zur Zahlungsabwicklung an einen Dritten weiterleiten, und zwar an den Webserver des Händlers, auf dem sich der 

sich der Umleitungsmechanismus befindet. Versandhandel/Telefonverkauf (MOTO) oder E-Commerce-Händler, die 

vollständig ausgelagert haben (wo es keinen Umleitungsmechanismus vom Händler zum Dritten gibt) 

an den Dritten) und daher keine Systeme haben, die in den Anwendungsbereich dieser SAQ fallen, würden diese Anforderungen als 

Anforderungen als "nicht anwendbar". Siehe die Anleitung auf den folgenden Seiten für die Meldung von 

Anforderungen, die nicht anwendbar sind.


Die SAQ A wurde für Händler entwickelt, deren Karteninhaberdaten vollständig an validierte Dritte ausgelagert sind und nur Papierberichte oder Quittungen mit Karteninhaberdaten aufbewahren. Die SAQ A-Händler können entweder E-Commerce-Händler oder Versand-/Telefonhändler sein und speichern, verarbeiten oder übertragen keine Karteninhaberdaten in elektronischem Format. SAQ A-Händler akzeptieren nur kartenlose Transaktionen und lagern die gesamte Verarbeitung von Karteninhaberdaten an PCI DSS-validierte Drittdienstleister aus. Sie bestätigen, dass diese Drittanbieter PCI DSS-konform sind. Alle Karteninhaberdaten werden in Form von Papierberichten oder Quittungen aufbewahrt und nicht elektronisch empfangen. Für E-Commerce-Kanäle müssen alle Zahlungsseiten von einem PCI DSS-validierten Drittdienstleister bereitgestellt werden. Diese SAQ gilt nicht für den persönlichen Kundenkontakt.

Verkürzt: 

In SAQ A wurden die Anforderungen für Händler definiert, die keine Karteninhaberdaten elektronisch speichern, sondern vollständig an Drittanbieter auslagern. Dies gilt für E-Commerce- und Versand-/Telefonhändler.

Erläuterung:

Schritte zur Durchführung der PCI DSS-Selbsteinschätzung

1. Identifizieren Sie den zutreffenden SAQ für Ihre Umgebung⎯Beziehen Sie sich auf den Self-Assessment Questionnaire 

Anweisungen und Richtlinien auf der PCI SSC-Website für Informationen.

2. Vergewissern Sie sich, dass Ihre Umgebung ordnungsgemäß erfasst ist und die Zulassungskriterien für den von Ihnen verwendeten SAQ 

(wie in Teil 2g der Konformitätsbescheinigung definiert).

3. Prüfen Sie Ihre Umgebung auf die Einhaltung der geltenden PCI DSS-Anforderungen.

4. Füllen Sie alle Abschnitte dieses Dokuments aus:

  • - Abschnitt 1 (Teil 1 und 2 des AOC) - Bewertungsinformationen und Zusammenfassung
  • - Abschnitt 2 - PCI DSS-Fragebogen zur Selbsteinschätzung (SAQ A)
  • - Abschnitt 3 (Teile 3 und 4 des AOC) - Validierungs- und Bescheinigungsdetails und Aktionsplan für 
  • Nicht konforme Anforderungen (falls zutreffend)

5. Einreichen des SAQ und des Konformitätsnachweises (AOC) zusammen mit allen anderen angeforderten 

Dokumentation - wie z. B. ASV-Scanberichte - an Ihren Acquirer, Ihre Zahlungsmarke oder einen anderen Anforderer.


Zum Verständnis des Fragebogens zur Selbsteinschätzung

Die Fragen in der Spalte "PCI DSS-Fragen" in diesem Selbstbewertungsfragebogen basieren

basieren auf den Anforderungen des PCI DSS. 

Zusätzliche Ressourcen, die Anleitungen zu den Anforderungen des PCI DSS und zum Ausfüllen des Selbstbewertungsfragebogens bieten, wurden zur Unterstützung des Bewertungsprozesses bereitgestellt. Ein Überblick über 

einige dieser Ressourcen finden Sie im Folgenden:


Das Dokumententhält:

PCI DSS 

(PCI Datensicherheitsstandard 

Anforderungen und Sicherheitsbewertung 

Prozeduren)


- Leitfaden zum Scoping 

- Leitfaden zum Zweck aller PCI DSS-Anforderungen

- Details der Testverfahren

- Leitfaden zu kompensierenden Kontrollen


SAQ-Anweisungen und Richtlinien

Dokumente

- Informationen über alle SAQs und ihre Zulassungskriterien

- Wie Sie feststellen, welche SAQ für Ihre Organisation geeignet ist 

Organisation geeignet ist


PCI DSS und PA-DSS Glossar der 

Begriffe, Abkürzungen und Akronyme


- Beschreibungen und Definitionen von Begriffen, die in den PCI 

DSS und den Fragebögen zur Selbsteinschätzung verwendet werden



 

Diese und weitere Ressourcen finden Sie auf der Website des PCI SSC (www.pcisecuritystandards.org).

Organisationen wird empfohlen, den PCI DSS und andere unterstützende Dokumente zu lesen, bevor sie mit einer 

einer Bewertung. 


Erwartete Tests

Die Anweisungen in der Spalte "Erwartete Tests" basieren auf den Testverfahren des 

PCI DSS und bieten eine allgemeine Beschreibung der Arten von Testaktivitäten, die durchgeführt werden sollten 

um zu überprüfen, ob eine Anforderung erfüllt ist. Vollständige Details zu den Prüfverfahren für jede Anforderung 

können im PCI DSS nachgelesen werden.

Die Schritte zur Durchführung der PCI DSS-Selbsteinschätzung beinhalten die Identifizierung des zutreffenden SAQ für die Umgebung, die Überprüfung der Umgebung auf Einhaltung der PCI DSS-Anforderungen und das Ausfüllen des Selbstbewertungsfragebogens. Zunächst muss der passende SAQ gemäß den Anweisungen auf der PCI SSC-Website ausgewählt werden. Dann muss sichergestellt werden, dass die Umgebung ordnungsgemäß erfasst ist und die Zulassungskriterien für den gewählten SAQ erfüllt. Anschließend erfolgt die Prüfung der Umgebung auf Einhaltung der PCI DSS-Anforderungen. Danach werden alle Abschnitte des Dokuments ausgefüllt, einschließlich der Bewertungsinformationen, des PCI DSS-Fragebogens zur Selbsteinschätzung und des Aktionsplans für nicht konforme Anforderungen. Schließlich müssen der SAQ und der Konformitätsnachweis zusammen mit anderen angeforderten Dokumenten bei dem Acquirer, der Zahlungsmarke oder einem anderen Anforderer eingereicht werden. Der Selbstbewertungsfragebogen basiert auf den Anforderungen des PCI DSS und wird durch zusätzliche Ressourcen unterstützt, die Richtlinien und Anleitungen bereitstellen.

Verkürzt: 
Schritte zur PCI DSS-Selbsteinschätzung: Wählen Sie den richtigen Fragebogen, erfassen Sie Ihre Umgebung, überprüfen Sie die Einhaltung, füllen Sie das Dokument aus und reichen Sie es ein. Verstehen Sie den Fragebogen und nutzen Sie die bereitgestellten Ressourcen.

Ausfüllen des Fragebogens zur Selbstbeurteilung

Für jede Frage gibt es eine Auswahl an Antworten, die den Status Ihres Unternehmens bezüglich dieser 

Anforderung. Für jede Frage sollte nur eine Antwort ausgewählt werden.

Eine Beschreibung der Bedeutung der einzelnen Antworten finden Sie in der nachstehenden Tabelle:


Antwort Wann ist diese Antwort zu verwenden?
Ja

Die erwarteten Tests wurden durchgeführt, und alle Elemente der 

Anforderung wurden wie angegeben erfüllt.

Ja mit CCW

(Kompensierendes 

Control Worksheet)


Die erwarteten Tests wurden durchgeführt, und die Anforderung wurde

wurde mit Hilfe einer kompensierenden Kontrolle erfüllt. 

Alle Antworten in dieser Spalte erfordern das Ausfüllen eines Arbeitsblatts für kompensierende 

Control Worksheet (CCW) in Anhang B der SAQ.

Informationen über die Verwendung kompensierender Kontrollen und Anleitungen zum Ausfüllen des Arbeitsblatts 

zum Ausfüllen des Arbeitsblatts sind im PCI DSS enthalten.

Nein 


Einige oder alle Elemente der Anforderung wurden nicht erfüllt oder sind im 

oder werden gerade implementiert oder erfordern weitere Tests, bevor bekannt ist, ob sie vorhanden sind.

K.A.

(Nicht zutreffend)


Die Anforderung trifft nicht auf die Umgebung der Organisation zu. (Siehe

Leitfaden für die Nichtanwendbarkeit bestimmter, spezifischer Anforderungen unten 

für Beispiele.)

Alle Antworten in dieser Spalte erfordern eine Erläuterung in 

Appendix C des SAQ.


Hinweise zur Nichtanwendbarkeit bestimmter, spezifischer Anforderungen


Wenn eine Anforderung auf Ihre Umgebung nicht anwendbar ist, wählen Sie die Option "N/A" für diese 

und füllen Sie das Arbeitsblatt "Erklärung der Nichtanwendbarkeit" in Anhang C für jede 

jeden "N/A"-Eintrag aus.


Gesetzliche Ausnahmen 


Wenn Ihre Organisation einer rechtlichen Einschränkung unterliegt, die sie daran hindert, eine PCI DSS-Anforderung zu erfüllen 

Anforderung zu erfüllen, kreuzen Sie die Spalte "Nein" für diese Anforderung an und füllen Sie die entsprechende Bescheinigung in Teil 3 aus.

Der Fragebogen zur Selbstbeurteilung erfordert das Ausfüllen von Antworten, um den Status eines Unternehmens in Bezug auf bestimmte Anforderungen zu bewerten. Es gibt verschiedene Antwortmöglichkeiten, die den Erfüllungsstatus der Anforderungen angeben. Eine "Ja"-Antwort bedeutet, dass alle erwarteten Tests durchgeführt wurden und alle Anforderungen erfüllt wurden. Eine "Ja mit CCW" bedeutet, dass die Anforderungen mithilfe einer kompensierenden Kontrolle erfüllt wurden und ein Arbeitsblatt ausgefüllt werden muss. Eine "Nein"-Antwort bedeutet, dass einige oder alle Anforderungen nicht erfüllt wurden oder noch umgesetzt werden müssen. Eine "K.A."-Antwort bedeutet, dass die Anforderung nicht auf die Umgebung des Unternehmens zutrifft und weitere Informationen im Anhang C des Fragebogens zu finden sind. Es gibt auch Anleitungen zur Nichtanwendbarkeit bestimmter Anforderungen, die im Fragebogen enthalten sind.


Verkürzt: 

Der Fragebogen zur Selbstbeurteilung beinhaltet verschiedene Antwortoptionen, um den Status des Unternehmens bezüglich bestimmter Anforderungen festzustellen. Die Antwortoptionen werden in einer Tabelle erläutert.

Erläuterung:
Hier wird dir erklärt, was die durch Adyen gegebenen Antworten im genauen bedeuten.

Abschnitt 1: Bewertungsinformationen

Anweisungen zur Einreichung

Dieses Dokument muss als Erklärung über die Ergebnisse der Selbstbewertung des Händlers gemäß den 

Payment Card Industry Data Security Standard Requirements and Security Assessment Procedures (PCI 

DSS). Füllen Sie alle Abschnitte aus: Der Händler ist dafür verantwortlich, dass die einzelnen Abschnitte von den 

jeweiligen Parteien ausgefüllt wird. Wenden Sie sich an den Acquirer (Händlerbank) oder die Zahlungsmarken, um die Melde 

und Übermittlungsverfahren.


Teil 1. Informationen für den Händler und den qualifizierten Sicherheitsbewerter


Teil 1a. Informationen zur Händlerorganisation

Name des Unternehmens: 

DBA (doing business as 

Geschäft als):

Name der Kontaktperson: 

Titel: 

Telefon: E-Mail:

Geschäftsadresse: 

Stadt:

Staat/Provinz: 

Land: 

Postleitzahl:

URL:


Teil 1b. Angaben zum Unternehmen des qualifizierten Sicherheitsgutachters (falls zutreffend)

Name des Unternehmens:

Name des leitenden QSA-Kontakts: Titel: 

Telefon: 

E-Mail:

Geschäftsadresse: 

Stadt:

Staat/Provinz: 

Land: 

Postleitzahl:

URL:


Teil 2. Zusammenfassung

Teil 2a. Art des Handelsunternehmens (alle zutreffenden Angaben ankreuzen)

Einzelhändler 

Telekommunikation 

Lebensmittel- und Supermärkte

Petroleum 

E-Commerce 

Versandhandel/Telefonverkauf (MOTO)

Andere (bitte angeben): 


Welche Arten von Zahlungskanälen bedient Ihr Unternehmen 

bedienen?


Versandhandel/Telefonische Bestellung (MOTO) 

E-Commerce 

Kartenzahlung (Face-to-Face)


Welche Zahlungskanäle werden von dieser SAQ abgedeckt?


Versandhandel/Telefonische Bestellung (MOTO) 

E-Commerce 

Kartenzahlung (Face-to-Face)


Hinweis: Wenn Ihr Unternehmen einen Zahlungskanal oder -prozess hat, der nicht von dieser SAQ abgedeckt wird, wenden Sie sich an Ihren 

Acquirer oder die Zahlungsmarke über die Validierung für die anderen Kanäle.

Dieses Dokument dient der Erklärung über die Ergebnisse der Selbstbewertung des Händlers gemäß den Sicherheitsbestimmungen des Payment Card Industry Data Security Standard (PCI DSS). Der Händler ist dafür verantwortlich, die erforderlichen Abschnitte auszufüllen und sich bei Fragen an die Acquirer oder Zahlungsmarken zu wenden. Teil 1a befasst sich mit den Informationen zum Unternehmen des Händlers, einschließlich des Namens, der Kontaktperson und der Kontaktinformationen. Teil 1b enthält Informationen zum Unternehmen des qualifizierten Sicherheitsgutachters. Teil 2a deckt die Art des Handelsgeschäfts ab, wie z.B. Einzelhandel, Telekommunikation oder Lebensmittel- und Supermärkte, und die Zahlungskanäle, die vom Unternehmen bedient werden. Es wird auch angegeben, welche Zahlungskanäle von dieser Selbstbewertungsfragebogen abgedeckt werden. Es wird darauf hingewiesen, dass Unternehmen, die Zahlungskanäle haben, die nicht abgedeckt sind, einen separaten Fragebogen ausfüllen müssen.

Verkürzt:
Dieses Dokument muss als Erklärung über die Ergebnisse der Selbstbewertung des Händlers gemäß den Payment Card Industry Data Security Standard Requirements and Security Assessment Procedures (PCI DSS) dienen. Es müssen Informationen zum Unternehmen des Händlers und des qualifizierten Sicherheitsgutachters angegeben werden. Es werden verschiedene Arten des Handelsgeschäfts und Zahlungskanäle abgefragt.

Erläuterung:

Hier musst du bitte deine Unternehmensdaten eingeben 

Teil 2. Zusammenfassung (Fortsetzung)


Teil 2b. Beschreibung des Zahlungskartengeschäfts


Wie und in welchem Umfang speichert, verarbeitet und/oder übermittelt Ihr Unternehmen

speichern, verarbeiten und/oder übermitteln Sie Karteninhaberdaten?


Wir speichern, verarbeiten und/oder übermitteln keine Karteninhaberdaten. Diese Karteninhaber

 Datenfunktionen sind vollständig an PCI DSS-konforme Drittanbieter ausgelagert

Dienstanbieter ausgelagert, wie in Teil 2f beschrieben.




Teil 2c. Standorte

Auflistung der Arten von Einrichtungen (z. B. Einzelhandelsgeschäfte, Firmenbüros, Rechenzentren, Call Center usw.) und eine

Zusammenfassung der Standorte, die in die PCI DSS-Überprüfung einbezogen wurden.


Art der Einrichtung


Anzahl der Einrichtungen dieses Typs


Standort(e) der Einrichtung (Stadt, Land)
Beispiel: Einzelhandelsgeschäfte
3Boston, MA, USA
Hauptgeschäftsstelle1Bitte gib hier die Hauptgeschäftsstelle deines Unternehmens an



Teil 2d. Zahlungsanwendung


Verwendet die Organisation eine oder mehrere Zahlungsanwendungen? 

Ja                      x Nein


Machen Sie die folgenden Angaben zu den Zahlungsanwendungen, die Ihre Organisation verwendet:

Zahlungsanwendung

Name


Version

Nummer


Anwendung

Anbieter


Ist die Anwendung

PA-DSS-gelistet?


Ablauf der PA-DSS-Listung

Datum (falls zutreffend)




JaNein




JaNein




JaNein




JaNein





JaNein



Teil 2e. Beschreibung der Umgebung


Geben Sie eine ausführliche Beschreibung des Umfelds, das Gegenstand dieser Bewertung ist.


Zum Beispiel:


- Verbindungen in und aus der Umgebung der Karteninhaberdaten

(CDE).

- Kritische Systemkomponenten innerhalb der CDE, wie z. B. POS

Geräte, Datenbanken, Webserver usw., sowie gegebenenfalls andere

ggf. andere notwendige Zahlungskomponenten.


Diese Bewertung bezieht sich auf unsere(n) digitalen E-Commerce-Kanal(e)

der die Funktionen für Karteninhaberdaten nutzt, die von vollständig

PCI DSS-konformen Drittanbietern bereitgestellt werden, wie in

Teil 2f.




Verwendet Ihr Unternehmen eine Netzwerksegmentierung, um den Umfang Ihrer PCI DSS

Umgebung zu beeinflussen?

(Eine Anleitung zur Netzwerksegmentierung finden Sie im Abschnitt "Netzwerksegmentierung" des PCI DSS

Segmentierung.)



Jax Nein


In Teil 2b geht es um das Zahlungskartengeschäft, bei dem es darum geht, wie und in welchem Umfang das Unternehmen Karteninhaberdaten speichert, verarbeitet und übermittelt. In Teil 2c werden die Arten von Einrichtungen aufgelistet, die in die PCI DSS-Überprüfung einbezogen werden, sowie eine Zusammenfassung der Standorte dieser Einrichtungen. In Teil 2d wird erfragt, ob die Organisation eine oder mehrere Zahlungsanwendungen verwendet, und falls ja, müssen Angaben zu diesen gemacht werden, wie zum Beispiel Name, Version und Anbieter. Es wird auch gefragt, ob die Anwendung PA-DSS-gelistet ist und das Datum der PA-DSS-Listung angegeben werden soll. In Teil 2e wird eine detaillierte Beschreibung der Umgebung der Bewertung gefordert, wie zum Beispiel Verbindungen zu und von den Karteninhaberdaten, kritische Systemkomponenten innerhalb der Umgebung und ob das Unternehmen Netzwerksegmentierung verwendet, um den Umfang der PCI DSS Umgebung zu beeinflussen.

Verkürzt:

Die Organisation speichert, verarbeitet und übermittelt Karteninhaberdaten in ihrem Zahlungskartengeschäft. Die Standorte, die in die PCI DSS-Überprüfung einbezogen wurden, umfassen Einzelhandelsgeschäfte, Unternehmensniederlassungen, Rechenzentren und Callcenter. Die Organisation verwendet eine oder mehrere Zahlungsanwendungen, von denen einige PA-DSS-gelistet sind. Das Umfeld der Bewertung umfasst Verbindungen in und aus der Umgebung der Karteninhaberdaten sowie kritische Systemkomponenten in der Umgebung. Das Unternehmen verwendet Netzwerksegmentierung, um den Umfang der PCI DSS-Umgebung zu beeinflussen. 



Teil 2. Zusammenfassung (Fortsetzung)


Teil 2f. Drittanbieter von Dienstleistungen


Nutzt Ihr Unternehmen einen qualifizierten Integrator und Wiederverkäufer (QIR)?    

Ja
 x  Nein


Wenn Ja:

Name des QIR-Unternehmens:



Name der QIR-Person:



Beschreibung der vom QIR erbrachten Dienstleistungen:




Gibt Ihr Unternehmen Karteninhaberdaten an Drittanbieter weiter (zum Beispiel

Qualified Integrator & Resellers (QIR), Gateways, Zahlungsabwickler, Zahlungsdienstleister

Zahlungsdienstleister (PSP), Web-Hosting-Unternehmen, Flugbuchungsagenten, Vertreter von Treueprogrammen

Agenten, etc.)?


x    JaNein



Wenn ja:
Name des Dienstleisters: 
Beschreibung der erbrachten Dienstleistungen: 
Adyen N.V.Zahlungsabwicklung
GastroMISHosting-Anbieter


Hinweis: Die Randnummer 12.8 gilt für alle in dieser Liste aufgeführten Einrichtungen.


Teil 2g. Berechtigung zum Ausfüllen des SAQ A


Der Händler bestätigt, dass er berechtigt ist, diese verkürzte Fassung des Fragebogens zur Selbsteinschätzung auszufüllen

für diesen Zahlungskanal:


x

Der Händler akzeptiert nur kartenlose Transaktionen (E-Commerce oder Versand-/Telefonbestellungen)

x

Die gesamte Verarbeitung von Karteninhaberdaten ist vollständig an PCI DSS-validierte Drittanbieter ausgelagert

x

Der Händler speichert, verarbeitet oder überträgt keine Karteninhaberdaten elektronisch auf seinen Systemen oder in seinen Räumlichkeiten.

x

Das VU hat bestätigt, dass alle Drittanbieter, die mit der Speicherung, Verarbeitung und/oder Übermittlung von

Karteninhaberdaten PCI DSS-konform sind; und

x

alle vom Händler aufbewahrten Karteninhaberdaten in Papierform vorliegen (z. B. gedruckte Berichte oder Quittungen) und

diese Dokumente werden nicht elektronisch empfangen.

x

Zusätzlich für E-Commerce-Kanäle:

Alle Elemente der Zahlungsseite(n), die an den Browser des Verbrauchers übermittelt werden, stammen ausschließlich und direkt

von einem PCI DSS-validierten Drittdienstleister.


Teil 2f. In diesem Abschnitt geht es darum, ob das Unternehmen einen qualifizierten Integrator und Wiederverkäufer (QIR) nutzt und ob es Kartendaten an Drittanbieter weitergibt. Wenn ja, werden der Name des QIR-Unternehmens, der Name der QIR-Person und eine Beschreibung der erbrachten Dienstleistungen abgefragt.

Teil 2g. Hier wird bestätigt, dass das Unternehmen berechtigt ist, den Fragebogen zur Selbsteinschätzung auszufüllen, da es für einen bestimmten Zahlungskanal nur kartenlose Transaktionen akzeptiert oder die gesamte Verarbeitung von Kartendaten an PCI DSS-validierte Drittanbieter ausgelagert hat. Es werden auch weitere Bedingungen genannt, wie z.B. dass keine Kartendaten elektronisch gespeichert oder übertragen werden und dass alle Drittanbieter PCI DSS-konform sind. Zudem wird erwähnt, dass alle vom Unternehmen aufbewahrten Kartendaten in Papierform vorliegen und nicht elektronisch empfangen werden.


Verkürzt:

Teil 2f. Informationen zu einem qualifizierten Integrator und Wiederverkäufer (QIR):

- Ist ein QIR vorhanden?

- Name des QIR-Unternehmens und der QIR-Person

- Beschreibung der Dienstleistungen des QIR


Teil 2g. Berechtigung zur Ausfüllung des Fragebogens SAQ A:

- Der Händler akzeptiert nur kartenlose Transaktionen.

- Alle Karteninhaberdaten werden an PCI DSS-validierte Drittanbieter ausgelagert.

- Der Händler speichert, verarbeitet oder überträgt keine Karteninhaberdaten elektronisch auf seinen Systemen oder in seinen Räumlichkeiten.

- Alle Drittanbieter sind PCI DSS-konform.

- Karteninhaberdaten werden nur in Papierform aufbewahrt.


Erläuterung:

Abschnitt 2: Fragebogen zur Selbstbeurteilung A


Hinweis: Die folgenden Fragen sind entsprechend den PCI DSS-Anforderungen und Prüfverfahren nummeriert, wie sie im PCI DSS

Requirements and Security Assessment Procedures definiert sind.




Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme


Anforderung 2: Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte für Systempasswörter und andere Sicherheitsparameter.



PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)


JaJa mit CCWNeinN/A
2.1

a) Werden die vom Hersteller gelieferten Standardeinstellungen immer geändert

bevor ein System im Netz installiert wird?

Dies gilt für ALLE Standardpasswörter, einschließlich, aber nicht nur

einschließlich, aber nicht beschränkt auf diejenigen, die von Betriebssystemen verwendet werden,

Software, die Sicherheitsdienste bereitstellt, Anwendungs- und

und Systemkonten, POS-Terminals (Point-of-Sale),

Zahlungsanwendungen, Simple Network Management

Protocol (SNMP)-Community-Strings, usw.)

▪ Überprüfung der Richtlinien und Verfahren.

▪ Prüfen Sie die Dokumentation des Anbieters.

▪ Beobachten Sie Systemkonfigurationen und

Kontoeinstellungen.

▪ Befragen Sie das Personal.



x


2.1

(b) Werden unnötige Standardkonten entfernt oder

deaktiviert, bevor ein System im Netz installiert wird?

Netzwerk installiert wird?


▪ Überprüfen Sie die Richtlinien und Verfahren.

▪ Prüfen Sie die Dokumentation des Anbieters.

▪ Prüfen Sie Systemkonfigurationen und

Kontoeinstellungen.

▪ Befragen Sie das Personal.


x




Im Abschnitt 2 des Fragebogens zur Selbstbeurteilung des PCI DSS geht es um die Anforderungen an die Verwendung von herstellerseitigen Standardwerten für Systemkennwörter und andere Sicherheitsparameter. Es wird gefragt, ob die Standardpasswörter, die vom Hersteller bereitgestellt werden, vor der Installation eines Systems im Netzwerk immer geändert werden. Dies betrifft alle Standardpasswörter, einschließlich Betriebssysteme, Software für Sicherheitsdienste, Anwendungen, Systemkonten, POS-Terminals, Zahlungsanwendungen und SNMP-Community-Strings. Es wird auch gefragt, ob unnötige Standardkonten vor der Installation eines Systems entfernt oder deaktiviert werden. Die Überprüfung erfolgt durch das Prüfen der Richtlinien und Verfahren, die Überprüfung der Dokumentation des Anbieters, das Prüfen von Systemkonfigurationen und Kontoeinstellungen sowie das Befragen des Personals. Die Antwort auf beide Fragen sollte entweder "Ja" oder "Ja mit CCW" sein.

Verkürzt:

Abschnitt 2: Fragebogen zur Selbstbeurteilung A

Es gibt Fragen zur Einhaltung der PCI DSS-Anforderungen, insbesondere zur Verwendung von Standardwerten für Systemkennwörter und Konten. Die Antworten werden getestet und müssen den Anforderungen entsprechend ausgewählt werden.


Erläuterung:

Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen


Anforderung 6: Entwicklung und Pflege sicherer Systeme und Anwendungen



PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

6.2

 a) Sind alle Systemkomponenten und die Software

vor bekannten Sicherheitslücken geschützt, indem die entsprechenden

Hersteller bereitgestellten Sicherheits-Patches geschützt?


▪ Überprüfung der Richtlinien und Verfahren.


x



(b) Werden kritische Sicherheitspatches innerhalb eines

Monat nach Freigabe installiert?


▪ Überprüfen Sie die Richtlinien und Verfahren.

▪ Überprüfen Sie die Systemkomponenten.

▪ Vergleich der Liste der installierten Sicherheits-Patches

mit den aktuellen Patch-Listen der Hersteller.


x







Implementierung strenger Zugangskontrollmaßnahmen


Anforderung 8: Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten



PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

8.1.1

Wird allen Benutzern eine eindeutige ID zugewiesen, bevor ihnen der

auf Systemkomponenten oder Karteninhaberdaten zugreifen

Daten?

▪ Überprüfen Sie die Passwortverfahren.

▪ Befragung des Personals.


x



8.1.3

Wird der Zugang für alle beendeten Benutzer sofort

deaktiviert oder entfernt?

▪ Überprüfen Sie die Passwortverfahren.

▪ Überprüfen Sie die Konten der gekündigten Benutzer.

▪ Prüfen Sie die aktuellen Zugangslisten.

▪ Beobachten Sie zurückgegebene physische

Authentifizierungsgeräte.


x



8.2

Wird zusätzlich zur Zuweisung einer eindeutigen ID eine oder mehrere der folgenden Methoden

der folgenden Methoden zur Authentifizierung aller

Benutzer?

▪ Etwas, das Sie kennen, z. B. ein Passwort oder eine

Passphrase

▪ Etwas, das Sie haben, wie z. B. ein Token-Gerät oder eine

Chipkarte

▪ Etwas, das Sie sind, z. B. ein biometrisches Merkmal

▪ Überprüfen Sie Passwortverfahren.

▪ Beobachten Sie die Authentifizierungsverfahren.


x



8.2.3

a) Sind die Benutzerpasswortparameter so konfiguriert, dass

dass die Passwörter/Passphrasen folgende Anforderungen erfüllen

folgende Anforderungen erfüllen?

- Eine Mindestpasswortlänge von mindestens

sieben Zeichen

- Sie enthalten sowohl numerische als auch alphabetische

Zeichen

Alternativ dazu müssen die Passwörter/Passphrasen eine

Komplexität und Stärke mindestens gleichwertig mit den

oben genannten Parametern entsprechen.

▪ Prüfen Sie die Einstellungen der Systemkonfiguration

um die Passwortparameter zu überprüfen.


x




In diesem Text geht es um die Umsetzung strenger Zugangskontrollmaßnahmen gemäß den Anforderungen des PCI DSS. Es werden verschiedene Fragen gestellt, die die Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten betreffen. Zum Beispiel wird gefragt, ob allen Benutzern eine eindeutige ID zugewiesen wird und ob der Zugang für alle beendeten Benutzer sofort deaktiviert oder entfernt wird. Zudem wird gefragt, ob neben der eindeutigen ID auch eine oder mehrere Methoden zur Authentifizierung der Benutzer verwendet werden, wie z.B. ein Passwort, ein Token-Gerät, eine Chipkarte oder ein biometrisches Merkmal. Des Weiteren wird gefragt, ob die Passwörter bestimmte Anforderungen erfüllen, wie eine Mindestlänge von sieben Zeichen und die Verwendung von numerischen und alphabetischen Zeichen. Es wird auch empfohlen, die Systemkonfigurationseinstellungen zu überprüfen.

Verkürzt:
Es wird empfohlen, strenge Zugangskontrollmaßnahmen zu implementieren und bestimmte Anforderungen zu erfüllen, wie z.B. die Zuweisung eindeutiger Benutzer-IDs, die sofortige Deaktivierung oder Entfernung von Zugängen für beendete Benutzer und die Verwendung verschiedener Methoden zur Authentifizierung. Des Weiteren sollten Passwortparameter festgelegt werden, wie eine Mindestlänge von sieben Zeichen und das Vorhandensein von numerischen und alphabetischen Zeichen. Es wird auch empfohlen, die Systemkonfigurationseinstellungen zu überprüfen.

Erläuterung:


PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

8.5Sind Gruppen-, Gemeinschafts- oder generische Konten, Passwörter oder

andere Authentifizierungsmethoden wie folgt verboten:

▪ Allgemeine Benutzerkennungen und -konten sind deaktiviert oder

entfernt;

▪ Gemeinsame Benutzerkennungen für die Systemverwaltung

Aktivitäten und andere kritische Funktionen gibt es nicht;

und

▪ Gemeinsame und generische Benutzerkennungen werden nicht verwendet, um

Systemkomponenten zu verwalten?

▪ Überprüfen Sie die Richtlinien und Verfahren.

▪ Prüfen Sie die Benutzer-ID-Listen.

▪ Befragen Sie das Personal.


x





Anforderung 9: Beschränkung des physischen Zugangs zu Karteninhaberdaten


PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

9.5

Sind alle Medien physisch gesichert (einschließlich, aber nicht beschränkt auf

Computer, elektronische Wechselmedien, Papierbelege

Papierbelege, Papierberichte und Faxe)?

Für die Zwecke der Anforderung 9 bezieht sich der Begriff "Datenträger" auf alle

alle Papier- und elektronischen Datenträger mit Karteninhaberdaten

Daten enthalten.


▪ Überprüfung der Richtlinien und Verfahren zur

physische Sicherung von Medien.

▪ Befragung des Personals.





x

9.6

a) Wird eine strenge Kontrolle über die interne oder

externe Verteilung von Medien jeglicher Art?

(b) Umfassen die Kontrollen Folgendes:

▪ Überprüfen Sie die Richtlinien und Verfahren für

Verteilung von Medien.








x

9.6.1

Sind die Medien klassifiziert, so dass die Sensibilität der Daten bestimmt werden kann?

bestimmt werden kann?

▪ Überprüfung der Richtlinien und Verfahren zur

Medienklassifizierung.

▪ Befragung des Sicherheitspersonals.




x

Die Passage behandelt Fragen zum PCI DSS und den zu erwartenden Tests. In Frage 8.5 wird gefragt, ob gemeinsame Konten, Passwörter und andere Authentifizierungsmethoden verboten sind, die zur Verwaltung von Systemkomponenten verwendet werden. In Anforderung 9 geht es um die Beschränkung des physischen Zugriffs auf Karteninhaberdaten. Hier wird gefragt, ob alle Medien (z. B. Computer, elektronische Datenträger, Papierbelege) physisch gesichert sind. Außerdem wird gefragt, ob eine strenge Kontrolle über die Verteilung von Medien besteht und ob die Medien klassifiziert sind, um die Sensibilität der Daten zu bestimmen. Die vorgeschlagenen Tests beinhalten die Überprüfung der Richtlinien und Verfahren sowie Befragungen des Personals und des Sicherheitspersonals.

Verkürzt:
PCI DSS stellt Fragen zu erwarteten Tests und Prüfungen zur Sicherheit von Benutzerkonten und physischem Zugriff auf Kundendaten. Richtlinien und Verfahren werden überprüft, und Mitarbeiter werden befragt.

Erläuterung:


PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

9.6.2

Werden die Medien durch einen gesicherten Kurier oder eine andere

die genau nachverfolgt werden kann?


▪ Befragen Sie das Personal.

▪ Prüfen Sie die Protokolle und Unterlagen zur Medienverteilung

Protokolle und Dokumentation.





x

9.6.3

Wurde die Genehmigung der Geschäftsleitung eingeholt, bevor die

Medien eingeholt (insbesondere bei der Verteilung von Medien an

Einzelpersonen)?


▪ Befragen Sie das Personal.

▪ Prüfen Sie die Protokolle und Unterlagen zur Verfolgung der

Protokolle und Dokumentation.





x

9.7

Wird eine strenge Kontrolle über die Lagerung und

Zugänglichkeit von Medien?


▪ Überprüfung der Richtlinien und Verfahren.





x

9.8

(a) Werden alle Datenträger vernichtet, wenn sie nicht mehr benötigt werden

aus geschäftlichen oder rechtlichen Gründen nicht mehr benötigt werden?

Wird die Medienvernichtung wie folgt durchgeführt:

▪ Überprüfen Sie regelmäßig die

Richtlinien und Verfahren.


















x





9.8.1

(a) Wird Papiermaterial quer geschreddert,

verbrannt oder zerkleinert, so dass Karteninhaberdaten

nicht rekonstruiert werden können?


(b) Sind die Lagerbehälter für Materialien, die

die zu vernichtende Informationen enthalten, so gesichert

Zugriff auf den Inhalt zu verhindern?



▪ Regelmäßige Überprüfung der Richtlinien und

Richtlinien und Verfahren.

▪ Befragen Sie das Personal.

▪ Beobachten Sie die Prozesse.

▪ Prüfen Sie die Sicherheit der Lager

Behälter.













x



x




Das Dokument behandelt verschiedene Fragen im Zusammenhang mit der Sicherheit und Vernichtung von Medien gemäß dem PCI DSS-Standard. Es werden verschiedene Kontrollmaßnahmen vorgeschlagen, um sicherzustellen, dass Medien sicher verwaltet und vernichtet werden. Dazu gehören die Verfolgung der Medien durch gesicherte Kuriere oder andere nachverfolgbare Methoden, die Genehmigung der Geschäftsleitung vor der Verteilung von Medien, strenge Kontrollen für die Lagerung und Zugänglichkeit von Medien sowie die regelmäßige Vernichtung von Medien, die nicht mehr benötigt werden. Die Vernichtung von Papiermaterial soll durch Querschreddern, Verbrennen oder Zerkleinern erfolgen, um eine Rekonstruktion von Kartendaten zu verhindern. Zusätzlich sollten die Lagerbehälter für Materialien, die zu vernichtende Informationen enthalten, ausreichend gesichert sein, um unbefugten Zugriff zu verhindern. Es wird empfohlen, das Personal zu befragen, die Protokolle und Unterlagen zur Medienverteilung und -vernichtung zu überprüfen sowie die Sicherheit der Lagerbehälter zu prüfen.

Verkürzt:
Es werden Fragen zur Einhaltung der PCI-DSS-Anforderungen zum Schutz von Medien gestellt, wie den Einsatz eines sicheren Kuriers, die Genehmigung der Geschäftsleitung für die Verteilung von Medien und die sichere Lagerung und Vernichtung von Medien.

Erläuterung:

Beibehaltung einer Informationssicherheitspolitik


Anforderung 12: Führen Sie eine Richtlinie zur Informationssicherheit für das gesamte Personal.

Hinweis: Im Sinne von Anforderung 12 bezieht sich der Begriff "Personal" auf Vollzeit- und Teilzeitbeschäftigte, Zeitarbeitskräfte und Personal sowie

Auftragnehmer und Berater, die am Standort des Unternehmens "ansässig" sind oder anderweitig Zugang zur Karteninhaberdatenumgebung des Unternehmens vor Ort haben.



PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

12.8

Werden Strategien und Verfahren beibehalten und

Verfahren zur Verwaltung von Dienstleistern, mit denen

mit denen Karteninhaberdaten ausgetauscht werden, oder die die

Sicherheit der Daten von Karteninhabern auswirken könnten, wie folgt:




12.8.1

Wird eine Liste von Dienstleistern geführt, einschließlich einer

Beschreibung der erbrachten Dienstleistung(en)?


▪ Überprüfung der Richtlinien und Verfahren.

▪ Beobachten Sie die Prozesse.

▪ Überprüfen Sie die Liste der Dienstleister.


x



12.8.2

Wird eine schriftliche Vereinbarung aufrechterhalten, die eine

eine Bestätigung, dass die Dienstleister

für die Sicherheit der Karteninhaberdaten verantwortlich sind, die

Karteninhaberdaten verantwortlich sind, die die Dienstleister besitzen oder anderweitig speichern, verarbeiten

oder im Namen des Kunden speichern, verarbeiten oder übermitteln, oder in dem Maße

die Sicherheit der Karteninhaberdatenumgebung des Kunden beeinträchtigen könnten

Umgebung des Kunden auswirken könnten?

Hinweis: Der genaue Wortlaut einer Bestätigung hängt

hängt von der Vereinbarung zwischen den beiden Parteien, den

Details der erbrachten Dienstleistung und den

Verantwortlichkeiten der beiden Parteien ab. Die

Bestätigung muss nicht den genauen Wortlaut

Wortlaut dieser Vorschrift enthalten.


▪ Achten Sie auf schriftliche Vereinbarungen.

▪ Überprüfen Sie Richtlinien und Verfahren.


x



12.8.3

Gibt es ein etabliertes Verfahren zur Beauftragung von Dienstleistern

Dienstleistern, einschließlich einer angemessenen Sorgfaltsprüfung vor der

Beauftragung?


▪ Beobachten Sie die Prozesse.

▪ Überprüfung der Richtlinien und Verfahren und

unterstützende Unterlagen


x




In Anforderung 12 wird gefordert, dass Unternehmen eine Richtlinie zur Informationssicherheit für ihr gesamtes Personal haben, einschließlich Vollzeit- und Teilzeitbeschäftigten, Zeitarbeitskräften sowie Auftragnehmern und Beratern, die Zugang zur Karteninhaberdatenumgebung des Unternehmens haben. Die PCI DSS-Fragen in Bezug auf diese Anforderung beinhalten die Beibehaltung von Strategien und Verfahren zur Verwaltung von Dienstleistern, die Karteninhaberdaten austauschen oder die Sicherheit der Daten von Karteninhabern beeinflussen können. Dazu gehört auch das Führen einer Liste von Dienstleistern und das Vorliegen einer schriftlichen Vereinbarung, in der die Verantwortlichkeit des Dienstleisters für die Sicherheit der Karteninhaberdaten festgelegt ist. Der genaue Wortlaut der Bestätigung in der Vereinbarung hängt von den Details der Dienstleistung und den Verantwortlichkeiten beider Parteien ab. Es ist jedoch nicht erforderlich, dass der genaue Wortlaut der Bestätigung in der Richtlinie enthalten ist. Es ist auch wichtig, die Richtlinie und Verfahren regelmäßig zu überprüfen und die Prozesse zu beobachten.

Verkürzt:
Es wird empfohlen, Richtlinien zur Informationssicherheit für alle Mitarbeiter zu erstellen und eine Liste der Dienstleister zu führen, die die Karteninhaberdaten speichern oder verarbeiten. Es sollte auch eine schriftliche Vereinbarung mit den Dienstleistern getroffen werden, um ihre Verantwortlichkeiten für die Sicherheit der Daten zu bestätigen.

Erläuterung:


PCI DSS Frage
Erwartete Tests

Antwort

(Kreuzen Sie für jede Frage eine Antwort an)

JaJa mit CCWNeinN/A

12.8.4

Wird ein Programm zur Überwachung des Status der Dienstanbieter

Dienstleistern zur Einhaltung des PCI DSS mindestens einmal jährlich?


▪ Beobachten Sie die Prozesse.

▪ Überprüfung der Richtlinien und Verfahren und

unterstützende Dokumentation.


x



12.8.5

Sind Informationen darüber vorhanden, welche PCI DSS

Anforderungen von den einzelnen Dienstleistern verwaltet werden,

und welche von der Stelle verwaltet werden?


▪ Beobachten Sie die Prozesse.

▪ Überprüfung der Richtlinien und Verfahren und

unterstützende Dokumentation.


x



12.10.1

a) Wurde ein Plan für die Reaktion auf Zwischenfälle erstellt, der

für den Fall eines Systembruchs?


▪ Überprüfen Sie den Reaktionsplan für Zwischenfälle.

▪ Überprüfung des Reaktionsplans auf Vorfälle

Verfahren.


x





Anhang A: Zusätzliche PCI DSS-Anforderungen



Anhang A1:           Zusätzliche PCI DSS-Anforderungen für Shared Hosting-Anbieter

Dieser Anhang wird nicht für Händlerbewertungen verwendet.



Anhang A2:           Zusätzliche PCI DSS-Anforderungen für Einrichtungen, die SSL/frühes TLS für

POS-POI-Terminal-Verbindungen mit Kartenzahlung

Dieser Anhang wird nicht für SAQ A-Händlerbewertungen verwendet.


Anhang A3: Ergänzende Validierung für benannte Stellen (DESV)

Dieser Anhang gilt nur für Einrichtungen, die von einer oder mehreren Zahlungsmarken oder einem Acquirer als

die eine zusätzliche Validierung der bestehenden PCI DSS-Anforderungen benötigen. Unternehmen, die nach diesem Anhang validieren müssen

müssen, sollten die DESV Supplemental Reporting Template und die Supplemental Attestation of Compliance für die

verwenden und sich bezüglich der Einreichungsverfahren mit der jeweiligen Zahlungsmarke und/oder dem Acquirer in Verbindung setzen.




Anhang A des PCI DSS enthält zusätzliche Anforderungen, die für bestimmte Arten von Unternehmen gelten. Anhang A1 betrifft Shared Hosting-Anbieter, während Anhang A2 sich auf Einrichtungen bezieht, die SSL/frühes TLS für POS-POI-Terminal-Verbindungen mit Kartenzahlung nutzen. Diese Anhänge werden nicht für Händlerbewertungen nach dem SAQ A-Standard verwendet. Anhang A3 betrifft Unternehmen, die von Zahlungsmarken oder Acquirern benannt wurden und eine zusätzliche Validierung ihrer PCI DSS-Anforderungen benötigen. Diese Unternehmen müssen das DESV Supplemental Reporting Template und die Supplemental Attestation of Compliance verwenden und sich bezüglich der Einreichungsverfahren mit der jeweiligen Zahlungsmarke und/oder dem Acquirer in Verbindung setzen.

Verkürzt:

Es gibt verschiedene Anhänge zu den PCI DSS-Anforderungen, die zusätzliche Anforderungen für Shared Hosting-Anbieter, POS-POI-Terminal-Verbindungen mit Kartenzahlung und bestimmte Unternehmen festlegen, die von einer Zahlungsmarke oder Acquirer benannt wurden.


Erläuterung:

Anhang B: Arbeitsblatt "Kompensationssteuerungen


Verwenden Sie dieses Arbeitsblatt, um Ausgleichssteuerungen für alle Anforderungen zu definieren, bei denen "JA mit Linkslauf" angekreuzt wurde.


Hinweis: Nur Unternehmen, die eine Risikoanalyse durchgeführt haben und über legitime technische oder

dokumentierte geschäftliche Einschränkungen haben, können die Verwendung von kompensierenden Kontrollen in Betracht ziehen, um die Einhaltung der Anforderungen zu erreichen.


In den Anhängen B, C und D des PCI DSS finden Sie Informationen zu kompensierenden Kontrollen und eine Anleitung

wie dieses Arbeitsblatt auszufüllen ist.


Anforderungsnummer und Definition:



Erforderliche Informationen
Erläuterung
1. Einschränkungen

Liste der Einschränkungen, die die Einhaltung

mit der ursprünglichen Anforderung.


2Zielsetzung 

Definieren Sie die Zielsetzung der ursprünglichen

Kontrolle; identifizieren Sie das Ziel, das durch die

die kompensierende Kontrolle


3. Identifiziertes Risiko

Identifizieren Sie jedes zusätzliche Risiko, das durch das

Fehlen der ursprünglichen Kontrolle.


4. Definition von

Kompensieren

Steuerungen


Definieren Sie die ausgleichenden Kontrollen und

erklären, wie sie die Ziele der

Ziele der ursprünglichen Kontrolle und

das erhöhte Risiko, falls vorhanden.


5. Validierung der

Kompensation

Kontrollen


Definieren Sie, wie die kompensierenden Kontrollen

validiert und getestet wurden.



6Wartung

Definieren Sie den Prozess und die Kontrollen, die zur

Aufrechterhaltung der kompensierenden Kontrollen.



Das Arbeitsblatt "Kompensationssteuerungen" dient dazu, Ausgleichssteuerungen für Anforderungen zu definieren, bei denen "JA mit Linkslauf" angekreuzt wurde. Die Verwendung von kompensierenden Kontrollen ist nur für Unternehmen möglich, die eine Risikoanalyse durchgeführt haben und legitime technische oder geschäftliche Einschränkungen haben. Die Anhänge B, C und D des PCI DSS enthalten Informationen zu kompensierenden Kontrollen und eine Anleitung zur Ausfüllung des Arbeitsblatts. Das Arbeitsblatt erfordert die Angabe von Informationen zu verschiedenen Aspekten der kompensierenden Kontrollen, wie Einschränkungen, Zielsetzung, identifiziertem Risiko, Definition der Kompensation, Validierung der Kompensationskontrollen und Wartung. Diese Informationen helfen dabei, die Einhaltung der Anforderungen zu erreichen und die Wirksamkeit der kompensierenden Kontrollen sicherzustellen.

Verkürzt:
Das Arbeitsblatt "Kompensationssteuerungen" wird verwendet, um Ausgleichssteuerungen für bestimmte Anforderungen zu definieren. Es gibt Anweisungen zur Erfassung von Informationen und zur Validierung und Wartung dieser Kontrollen.

Anhang C: Erläuterung der Nichtanwendbarkeit

Wenn die Spalte "N/A" (Nicht zutreffend) im Fragebogen angekreuzt wurde, verwenden Sie dieses Arbeitsblatt, um zu erklären, warum

warum die betreffende Anforderung auf Ihre Organisation nicht anwendbar ist.


Bedingung 
Grund Bedingung ist nicht anwendbar

Beispiel:

3.4Karteninhaberdaten werden niemals elektronisch gespeichert
9.5

Es werden keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übertragen und es gibt keinen

Zugang zu Entschlüsselungsschlüsseln.

9.6.1

Es werden keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übertragen, und es besteht kein

Zugang zu den Entschlüsselungsschlüsseln.

9.6.2

Es werden keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übertragen, und es besteht kein

Zugang zu den Entschlüsselungsschlüsseln.

9.6.3

Es werden keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übertragen, und es besteht kein

Zugang zu den Entschlüsselungsschlüsseln.

9.7

Es werden keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übertragen, und es besteht kein

Zugang zu den Entschlüsselungsschlüsseln.

9.8

Es werden keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übertragen, und es besteht kein

Zugang zu den Entschlüsselungsschlüsseln.



Die Spalte "N/A" (Nicht zutreffend) im Fragebogen ermöglicht es, zu erklären, warum die entsprechende Anforderung nicht auf die Organisation anwendbar ist. In dem Beispiel wird erklärt, dass keine Karteninhaberdaten elektronisch oder physisch gespeichert werden und kein Zugang zu Entschlüsselungsschlüsseln besteht. In den verschiedenen Abschnitten des Anhangs werden weitere Gründe genannt, warum bestimmte Anforderungen nicht zutreffen. Zum Beispiel werden keine Karteninhaberdaten gespeichert, verarbeitet oder übermittelt und es besteht kein Zugang zu Entschlüsselungscodes. Es wird betont, dass keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übermittelt werden und kein Zugang zu den Entschlüsselungsschlüsseln besteht. Die Abschnitte 9.6.2, 9.6.1, 9.6.3, 9.8 und 9.7 werden als Beispiele für Anforderungen genannt, die nicht auf die Organisation anwendbar sind.

Verkürzt:
In Anhang C werden die Gründe erläutert, warum bestimmte Anforderungen nicht auf die Organisation zutreffen. Es wird erklärt, dass keine Karteninhaberdaten gespeichert, verarbeitet oder übertragen werden und kein Zugriff auf Entschlüsselungsschlüssel besteht.

Erläuterung:

Abschnitt 3: Validierungs- und Bescheinigungsdetails 


Teil 3. PCI DSS-Validierung 


Dieses AOC basiert auf den Ergebnissen, die in SAQ A (Abschnitt 2), datiert (SAQ-Abschlussdatum), vermerkt sind. 

Auf der Grundlage der in der oben genannten SAQ A dokumentierten Ergebnisse bestätigen die in den Teilen 3b-3d genannten Unterzeichner den folgenden Konformitätsstatus für die in Teil 2 dieses Dokuments genannte Einrichtung: (bitte ankreuzen):


x
Erfüllt: Alle Abschnitte des PCI DSS SAQ sind vollständig, alle Fragen wurden mit Ja beantwortet, was zu einer Gesamtbewertung als COMPLIANT führt; damit hat (Name des Händlerunternehmens) die vollständige 
Einhaltung des PCI DSS nachgewiesen.

Nicht-konform: Nicht alle Abschnitte des PCI DSS SAQ sind vollständig, oder nicht alle Fragen wurden mit 
Ja beantwortet, was zu einer Gesamtbewertung NICHT-COMPLIANT führt; damit hat 
(Name des Händlerunternehmens) die vollständige Einhaltung des PCI DSS nicht nachgewiesen. 
Zieldatum für die Einhaltung: Ein Unternehmen, das dieses Formular mit dem Status "Nicht konform" einreicht, muss möglicherweise 
den Aktionsplan in Teil 4 dieses Dokuments ausfüllen. Wenden Sie sich an Ihren Acquirer oder die Zahlungsmarke(n),
 bevor Sie Teil 4 ausfüllen. 

Erfüllt, aber mit rechtlicher Ausnahme: Eine oder mehrere Anforderungen sind mit "Nein" markiert, da eine rechtliche Einschränkung die Erfüllung der Anforderung verhindert. Diese Option erfordert eine zusätzliche Überprüfung durch den Acquirer oder die Zahlungsmarke. Falls angekreuzt, füllen Sie bitte die folgenden Felder aus: 
Betroffene Anforderung
Einzelheiten dazuwie die Anforderung aufgrund rechtlicher Beschränkungen nicht 
erfüllt 
werden kann








Teil 3a. Statusbestätigung
Der/die Unterzeichner bestätigt/bestätigen: (Zutreffendes ankreuzen)
x
Der PCI DSS Self-Assessment Questionnaire A, Version (Version des SAQ), wurde gemäß den darin enthaltenen Anweisungen ausgefüllt.
x
Alle Informationen im oben genannten SAQ und in dieser Bescheinigung geben die Ergebnisse meiner Bewertung in allen wesentlichen Punkten korrekt wieder.

Ich habe mit dem Anbieter meiner Zahlungsanwendung bestätigt, dass mein Zahlungssystem nach der Autorisierung keine sensiblen Authentifizierungsdaten speichert.
x
Ich habe den PCI DSS gelesen und erkenne an, dass ich die Einhaltung des PCI DSS, soweit er auf meine Umgebung zutrifft, jederzeit sicherstellen muss.
x
Wenn sich meine Umgebung ändert, muss ich meine Umgebung neu bewerten und alle zusätzlichen PCI DSS-Anforderungen umsetzen.
  
Abschnitt 3 des Textes befasst sich mit Validierungs- und Bescheinigungsdetails im Zusammenhang mit der PCI DSS-Validierung. Das zugehörige AOC (Attestation of Compliance) basiert auf den Ergebnissen des SAQ A (Self-Assessment Questionnaire A) und wird datiert. Die Unterzeichner bestätigen den Konformitätsstatus der angegebenen Stelle gemäß den in SAQ A festgehaltenen Ergebnissen, wobei entweder ein Status von "Erfüllt" oder "Nicht-konform" vermerkt wird. Unternehmen, die den Status "Nicht-konform" angeben, müssen möglicherweise einen Aktionsplan erstellen und in Teil 4 des Dokuments ausfüllen. Wenn der Status "Erfüllt, aber mit rechtlicher Ausnahme" vermerkt wird, bedeutet dies, dass eine oder mehrere Anforderungen aufgrund rechtlicher Beschränkungen nicht erfüllt werden können und eine zusätzliche Überprüfung durch den Acquirer oder die Zahlungsmarke erforderlich ist. In diesem Fall müssen Details dazu angegeben werden, welche Anforderungen betroffen und warum sie aufgrund rechtlicher Beschränkungen nicht erfüllt werden können. In Teil 3a wird der Status vom/den Unterzeichner(n) bestätigt.

Verkürzt: 

Dieser Abschnitt enthält Details zur Validierung und Bestätigung des PCI DSS-Status. Je nach Ergebnis der Validierung wird die Einhaltung des PCI DSS entweder bestätigt oder es besteht die Notwendigkeit, einen Aktionsplan auszufüllen. Es gibt auch die Möglichkeit, dass bestimmte Anforderungen aufgrund rechtlicher Beschränkungen nicht erfüllt werden können.

Erläuterung:
Teil 3. PCI DSS Validierung (Fortsetzung)
Teil 3aStatusbestätigung (Fortsetzung)
xAuf KEINEM der im Rahmen dieser Prüfung überprüften Systeme wurden Hinweise auf die Speicherung von Full-Track-Daten1 , CAV2-, CVC2-, CID- oder CVV2-Daten2 oder PIN-Daten3 nach der Transaktionsautorisierung gefunden.

ASV-Scans werden vom PCI SSC Approved Scanning Vendor (ASV Name) durchgeführt 


Teil 3b. Bescheinigung des Händlers

Unterschrift hier

Unterschrift des Geschäftsführers des Händlers                                                  
Datum: 
Name des leitenden Angestellten des Händlers:
Titel:


Teil 3c. Bestätigung des qualifizierten Sicherheitsgutachters (QSA) (falls zutreffend) Nur mit qualifizierten Sicherheitsgutachters wichtig
Wenn ein QSA an dieser Bewertung beteiligt war oder dabei geholfen hat, beschreiben Sie die ausgeübte Rolle:



Unterschrift hier

Unterschrift des ordnungsgemäß bevollmächtigten Mitarbeiters des QSA-UnternehmensDatum:
Name des ordnungsgemäß bevollmächtigten Mitarbeiters: QSA-Unternehmen:


Teil 3d. Beteiligung eines internen Sicherheitsgutachters (ISA) (falls zutreffend) 
Nur mit einem internen Sicherheitsgutachter wichtig
Wenn ein ISA (oder mehrere ISA) an dieser Bewertung beteiligt war(en) oder sie unterstützte(n), geben Sie das ISA-Personal an und beschreiben Sie die ausgeübte Rolle:




1 Im Magnetstreifen kodierte Daten oder gleichwertige Daten auf einem Chip, der zur Autorisierung während einer Kartentransaktion verwendet wird. Unternehmen dürfen nach der Transaktionsautorisierung keine vollständigen Spurdaten aufbewahren. Die einzigen Elemente der Spurdaten, die aufbewahrt werden dürfen, sind die primäre Kontonummer (PAN), das Ablaufdatum und der Name des Karteninhabers. 


2 Der drei- oder vierstellige Wert, der auf dem Unterschriftsfeld oder auf der Vorderseite einer Zahlungskarte aufgedruckt ist und zur Verifizierung von Transaktionen mit nicht-gegenwärtiger Karte dient. 

3 Persönliche Identifikationsnummer, die der Karteninhaber bei einer kartengestützten Transaktion eingibt.
Der Text beschäftigt sich mit dem dritten Teil der PCI-DSS-Validierung. Es wird festgestellt, dass bei der Überprüfung der Systeme keine Beweise für die Speicherung von vollständigen Track-Daten, CAV2-, CVC2-, CID- oder CVV2-Daten oder PIN-Daten nach der Transaktionsautorisiserung gefunden wurden. Die ASV-Scans wurden von einem zugelassenen Scanning-Anbieter namens ASV-Name durchgeführt. Im nächsten Teil wird die Bescheinigung des Händlers diskutiert, die von einem leitenden Angestellten des Händlers unterzeichnet werden muss. Der Teil 3c besagt, dass, falls ein qualifizierter Sicherheitsgutachter (QSA) an der Bewertung beteiligt war oder sie unterstützt hat, die Rolle des QSA beschrieben werden soll und eine Unterschrift und Angaben zum Unternehmen des QSA benötigt werden. Abschließend wird in Teil 3d festgehalten, dass, falls ein oder mehrere interne Sicherheitsgutachter (ISA) an der Bewertung beteiligt waren, die Mitarbeiter des ISA angegeben werden sollen und ihre wahrgenommene Rolle beschrieben werden muss. Es werden noch weitergehende Informationen zu den im Text genannten Datenbegriffen gegeben.



Verkürzt:

Es wurden keine Beweise für die Speicherung von bestimmten Kartendaten oder PIN-Daten in den überprüften Systemen gefunden. Der Händler und gegebenenfalls der Sicherheitsgutachter sollten die Bewertung bestätigen.

Erläuterung:


Teil 4. Aktionsplan für nicht-konforme Anforderungen

Wählen Sie für jede Anforderung die entsprechende Antwort für "Konform mit den PCI DSS-Anforderungen" aus. Wenn Sie 

eine der Anforderungen mit "Nein" beantworten, können Sie aufgefordert werden, das Datum anzugeben, an dem Ihr Unternehmen voraussichtlich 

und eine kurze Beschreibung der Maßnahmen, die zur Erfüllung der Anforderung ergriffen werden. 

Wenden Sie sich an Ihren Acquirer oder die Zahlungsmarke(n), bevor Sie Teil 4 ausfüllen.

 


PCI DSS 

Anforderung*


Beschreibung der Anforderung


Konform mit PCI 

DSS-Anforderungen

(Eine auswählen)

JaNein
Datum und Maßnahmen zur Behebung (wenn für eine Anforderung "NEIN" ausgewählt wurde)
2

Verwenden Sie keine vom Anbieter bereitgestellten 

Standardwerte für Systemkennwörter und 

andere Sicherheitsparameter.




6

Entwickeln und pflegen Sie sichere 

Systeme und Anwendungen.




8

Identifizierung und Authentifizierung des Zugangs zu 

Systemkomponenten.




9

Beschränkung des physischen Zugriffs auf 

Karteninhaberdaten.




12

Beibehaltung einer Richtlinie, die die 

Informationssicherheit für das gesamte 

Personal behandelt.





*Die hier angegebenen PCI DSS-Anforderungen beziehen sich auf die Fragen in Abschnitt 2 des SAQ
Diese Textpassage behandelt den Aktionsplan für nicht-konforme Anforderungen im Rahmen des PCI-DSS (Payment Card Industry Data Security Standard). Für jede Anforderung muss angegeben werden, ob das Unternehmen konform mit den PCI-DSS-Anforderungen ist. Falls eine Anforderung nicht erfüllt ist, müssen das voraussichtliche Datum der Behebung und eine kurze Beschreibung der ergriffenen Maßnahmen angegeben werden. Bevor der Abschnitt 4 ausgefüllt wird, soll Rücksprache mit dem Acquirer oder den Zahlungsmarken gehalten werden. Es werden verschiedene Anforderungen aufgelistet, wie beispielsweise die Verwendung von Standardwerten für Systemkennwörter und andere Sicherheitsparameter, die Entwicklung und Pflege von sicheren Systemen und Anwendungen, die Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten, die Beschränkung des physischen Zugriffs auf Karteninhaberdaten und die Beibehaltung einer Richtlinie zur Informationssicherheit für das gesamte Personal. Die angegebenen PCI-DSS-Anforderungen beziehen sich auf die Fragen in Abschnitt 2 des SAQ (Self-Assessment Questionnaire).

Verkürzt:
Der Aktionsplan für nicht-konforme Anforderungen beinhaltet das Ausfüllen von Teil 4 des PCI DSS-Berichts, in dem die Konformität mit den Anforderungen bewertet wird. Der Bericht umfasst Anforderungen wie die Verwendung sicherer Systemkennwörter, die Entwicklung sicherer Systeme und Anwendungen sowie die Begrenzung des physischen Zugriffs auf Karteninhaberdaten. 


Erläuterung: