Damit du dir LINA Pay einrichten kannst, benötigt Adyen die sogenannte PCI PowerForm.
Das hat den schlichten Hintergrund, dass Adyen sehr viel Wert auf Sicherheit bei Zahlungen liegt und du deinem Geld damit niemals hinterher rennen musst.
Nachfolgend findest du alle Daten vom PCI-Dokument inkl. deutscher Übersetzung und Erklärung der einzelnen Schritte.
Klicke auf das Bild um es dir größer anzeigen zu lassen | Deutsche Übersetzung | Anforderung auf dieser Seite | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Zahlungskartenindustrie (PCI) Standard für Datensicherheit Fragebogen zur Selbsteinschätzung A und Bestätigung der Einhaltung Signiert: Kontoname: Partner: Händler, die keine Karten akzeptieren, Alle Funktionen für Karteninhaberdaten vollständig ausgelagert Zur Verwendung mit PCI DSS Version 3.2.1 Juni 2018 Bitte scrollen Sie zum Ende des Formulars, um den SAQ A zu unterschreiben, der basierend auf Ihren obigen Antworten ausgefüllt wurde | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Dokument Änderungen Datum PCI DSS Version SAQ Revision Beschreibung -------------------------------------------- Oktober 2008 1.2 Angleichung des Inhalts an den neuen PCI DSS v1.2 und Umsetzung kleinerer Änderungen seit der ursprünglichen Version 1.1. -------------------------------------------- Oktober 2010 2.0 Angleichung des Inhalts an die neuen Anforderungen des PCI DSS v2.0 und Testverfahren. -------------------------------------------- Februar 2014 3.0 Anpassung des Inhalts an die Anforderungen und Prüfverfahren des PCI DSS v3.0 und Prüfverfahren und Aufnahme zusätzlicher Antwort Antwortmöglichkeiten. -------------------------------------------- April 2015 3.1 Aktualisiert zur Angleichung an PCI DSS v3.1. Für Details zu den PCI DSS-Änderungen finden Sie unter PCI DSS - Zusammenfassung der Änderungen von PCI DSS Version 3.0 zu 3.1. -------------------------------------------- Juli 2015 3.1 1.1 Aktualisierte Versionsnummerierung zur Angleichung an andere SAQs. -------------------------------------------- April 2016 3.2 1.0 Aktualisiert, um mit PCI DSS v3.2 übereinzustimmen. Für Details zu den PCI DSS-Änderungen finden Sie unter PCI DSS - Zusammenfassung der Änderungen von PCI DSS Version 3.1 zu 3.2. Anforderungen aus PCI DSS v3.2 hinzugefügt Anforderungen 2, 8 und 12. -------------------------------------------- Januar 2017 3.2 1.1 Aktualisiertes Dokument Änderungen zur Klarstellung von Anforderungen die in der Aktualisierung vom April 2016 hinzugefügt wurden. Hinweis zum Abschnitt "Before You Begin" hinzugefügt, um die Absicht der Einbeziehung der PCI DSS-Anforderungen 2 und 8. -------------------------------------------- Juni 2018 3.2.1 1.0 Aktualisiert, um mit PCI DSS v3.2.1 übereinzustimmen. Für Details zu den PCI DSS-Änderungen, siehe PCI DSS - Zusammenfassung der Änderungen von PCI DSS Version 3.2 zu 3.2.1. Anforderung 6.2 aus PCI DSS v3.2.1 hinzugefügt | In diesem Abschnitt geht es um die einzelnen Versionen des PCI-Dokumentes. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verzeichnis der Inhalte Änderungen am Dokument .....................................................................................................................................i Bevor Sie beginnen .......................................................................................................................................iii Schritte zur Durchführung der PCI DSS-Selbsteinschätzung ......................................................................................iv Verständnis des Fragebogens zur Selbsteinschätzung ...........................................................................iv Erwartete Tests ................................................................................................................................... iv Ausfüllen des Selbsteinschätzungsfragebogens ..................................................................................v Hinweise zur Nichtanwendbarkeit bestimmter, spezifischer Anforderungen....................................................v Rechtliche Ausnahmen ....................................................................................................................................v Abschnitt 1: Informationen zur Bewertung001 .................................................................................................................................... Abschnitt 2: Fragebogen zur Selbstbeurteilung A .....................................................................................4 Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme.............................................................................4 Anforderung 2: Verwenden Sie keine herstellerseitigen Standardwerte für Systemkennwörter und andere Sicherheitsparameter Parameter..................................................................................................................4 Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen ....................................................................................5 Anforderung 6: Entwickeln und pflegen Sie sichere Systeme und Anwendungen ............................................5 Starke Maßnahmen zur Zugriffskontrolle implementieren........................................................................................6 Anforderung 8: Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten ...........................................6 Anforderung 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten ...............................................................7 Aufrechterhaltung einer Informationssicherheitspolitik ................................................................................................9 Anforderung 12: Führen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter behandelt .....................9 Anhang A: Zusätzliche PCI DSS-Anforderungen ................................................................................11 Anhang A1: Zusätzliche PCI DSS-Anforderungen für Shared Hosting-Anbieter............................11 Anhang A2: Zusätzliche PCI DSS-Anforderungen für Einrichtungen, die SSL/frühes TLS für Card-Present POS POI-Terminal-Verbindungen .................................................................................11 Anhang A3: Ergänzende Validierung für benannte Stellen (DESV) ..............................................11 Anhang B: Arbeitsblatt für kompensierende Kontrollen..............................................................................12 Anhang C: Erläuterung der Nichtanwendbarkeit...................................................................................13 Abschnitt 3: Validierungs- und Bescheinigungsdetails ....................................................................................14 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Bevor Sie beginnen SAQ A wurde entwickelt, um die Anforderungen zu erfüllen, die für Händler gelten, deren Karteninhaberdaten Karteninhaberdaten vollständig an validierte Dritte ausgelagert sind, bei denen der Händler nur Papierberichte Berichte oder Quittungen mit Karteninhaberdaten aufbewahrt. SAQ A-Händler können entweder E-Commerce-Händler oder Versand-/Telefonhändler sein (card-not-present), und keine Karteninhaberdaten in elektronischem Format auf ihren Systemen oder in ihren Geschäftsräumen speichern, verarbeiten oder übertragen. SAQ A-Händler bestätigen, dass sie für diesen Zahlungsweg: ▪ Ihr Unternehmen akzeptiert nur kartenlose Transaktionen (E-Commerce oder Versand-/Telefonbestellungen); ▪ die gesamte Verarbeitung von Karteninhaberdaten vollständig an PCI DSS-validierte Drittdienstleister ausgelagert ist Dienstleistern ausgelagert; ▪ Ihr Unternehmen speichert, verarbeitet oder übermittelt keine Karteninhaberdaten elektronisch auf Ihren Systemen oder in Ihren Räumlichkeiten elektronisch gespeichert oder übertragen, sondern verlässt sich bei all diesen Funktionen vollständig auf einen oder mehrere Drittanbieter; ▪ Ihr Unternehmen hat bestätigt, dass alle Drittparteien, die mit der Speicherung, Verarbeitung und/oder Übertragung von Übermittlung von Karteninhaberdaten PCI DSS-konform sind; und ▪ Alle Karteninhaberdaten, die Ihr Unternehmen aufbewahrt, sind auf Papier (z. B. gedruckte Berichte oder Quittungen), und diese Dokumente werden nicht elektronisch empfangen. Für E-Commerce-Kanäle gilt außerdem Folgendes ▪ Alle Elemente der Zahlungsseite(n), die an den Browser des Verbrauchers übermittelt werden, stammen ausschließlich und direkt von einem PCI DSS-validierten Drittdienstleister. Diese SAQ ist nicht auf persönliche Kanäle anwendbar. Diese verkürzte Version der SAQ enthält Fragen, die für eine bestimmte Art von kleinen Händlern gelten Umgebung gelten, wie in den obigen Zulassungskriterien definiert. Wenn es PCI DSS-Anforderungen gibt, die für Umgebung gelten, die in diesem SAQ nicht abgedeckt sind, kann dies ein Hinweis darauf sein, dass dieses SAQ für Ihre Umgebung nicht geeignet ist. Ihre Umgebung nicht geeignet ist. Darüber hinaus müssen Sie weiterhin alle geltenden PCI DSS-Anforderungen erfüllen, um PCI DSS-konform zu sein. Hinweis: Für diese SAQ gelten die PCI DSS-Anforderungen, die den Schutz von Computersystemen betreffen (z. B. z. B. die Anforderungen 2, 6 und 8) gelten für E-Commerce-Händler, die Kunden von ihrer Website zur Zahlungsabwicklung an einen Dritten weiterleiten, und zwar an den Webserver des Händlers, auf dem sich der sich der Umleitungsmechanismus befindet. Versandhandel/Telefonverkauf (MOTO) oder E-Commerce-Händler, die vollständig ausgelagert haben (wo es keinen Umleitungsmechanismus vom Händler zum Dritten gibt) an den Dritten) und daher keine Systeme haben, die in den Anwendungsbereich dieser SAQ fallen, würden diese Anforderungen als Anforderungen als "nicht anwendbar". Siehe die Anleitung auf den folgenden Seiten für die Meldung von Anforderungen, die nicht anwendbar sind. | Die SAQ A wurde für Händler entwickelt, deren Karteninhaberdaten vollständig an validierte Dritte ausgelagert sind und nur Papierberichte oder Quittungen mit Karteninhaberdaten aufbewahren. Die SAQ A-Händler können entweder E-Commerce-Händler oder Versand-/Telefonhändler sein und speichern, verarbeiten oder übertragen keine Karteninhaberdaten in elektronischem Format. SAQ A-Händler akzeptieren nur kartenlose Transaktionen und lagern die gesamte Verarbeitung von Karteninhaberdaten an PCI DSS-validierte Drittdienstleister aus. Sie bestätigen, dass diese Drittanbieter PCI DSS-konform sind. Alle Karteninhaberdaten werden in Form von Papierberichten oder Quittungen aufbewahrt und nicht elektronisch empfangen. Für E-Commerce-Kanäle müssen alle Zahlungsseiten von einem PCI DSS-validierten Drittdienstleister bereitgestellt werden. Diese SAQ gilt nicht für den persönlichen Kundenkontakt. Verkürzt: In SAQ A wurden die Anforderungen für Händler definiert, die keine Karteninhaberdaten elektronisch speichern, sondern vollständig an Drittanbieter auslagern. Dies gilt für E-Commerce- und Versand-/Telefonhändler. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Schritte zur Durchführung der PCI DSS-Selbsteinschätzung 1. Identifizieren Sie den zutreffenden SAQ für Ihre Umgebung⎯Beziehen Sie sich auf den Self-Assessment Questionnaire Anweisungen und Richtlinien auf der PCI SSC-Website für Informationen. 2. Vergewissern Sie sich, dass Ihre Umgebung ordnungsgemäß erfasst ist und die Zulassungskriterien für den von Ihnen verwendeten SAQ (wie in Teil 2g der Konformitätsbescheinigung definiert). 3. Prüfen Sie Ihre Umgebung auf die Einhaltung der geltenden PCI DSS-Anforderungen. 4. Füllen Sie alle Abschnitte dieses Dokuments aus:
5. Einreichen des SAQ und des Konformitätsnachweises (AOC) zusammen mit allen anderen angeforderten Dokumentation - wie z. B. ASV-Scanberichte - an Ihren Acquirer, Ihre Zahlungsmarke oder einen anderen Anforderer. Zum Verständnis des Fragebogens zur Selbsteinschätzung Die Fragen in der Spalte "PCI DSS-Fragen" in diesem Selbstbewertungsfragebogen basieren basieren auf den Anforderungen des PCI DSS. Zusätzliche Ressourcen, die Anleitungen zu den Anforderungen des PCI DSS und zum Ausfüllen des Selbstbewertungsfragebogens bieten, wurden zur Unterstützung des Bewertungsprozesses bereitgestellt. Ein Überblick über einige dieser Ressourcen finden Sie im Folgenden:
Diese und weitere Ressourcen finden Sie auf der Website des PCI SSC (www.pcisecuritystandards.org). Organisationen wird empfohlen, den PCI DSS und andere unterstützende Dokumente zu lesen, bevor sie mit einer einer Bewertung. Erwartete Tests Die Anweisungen in der Spalte "Erwartete Tests" basieren auf den Testverfahren des PCI DSS und bieten eine allgemeine Beschreibung der Arten von Testaktivitäten, die durchgeführt werden sollten um zu überprüfen, ob eine Anforderung erfüllt ist. Vollständige Details zu den Prüfverfahren für jede Anforderung können im PCI DSS nachgelesen werden. | Die Schritte zur Durchführung der PCI DSS-Selbsteinschätzung beinhalten die Identifizierung des zutreffenden SAQ für die Umgebung, die Überprüfung der Umgebung auf Einhaltung der PCI DSS-Anforderungen und das Ausfüllen des Selbstbewertungsfragebogens. Zunächst muss der passende SAQ gemäß den Anweisungen auf der PCI SSC-Website ausgewählt werden. Dann muss sichergestellt werden, dass die Umgebung ordnungsgemäß erfasst ist und die Zulassungskriterien für den gewählten SAQ erfüllt. Anschließend erfolgt die Prüfung der Umgebung auf Einhaltung der PCI DSS-Anforderungen. Danach werden alle Abschnitte des Dokuments ausgefüllt, einschließlich der Bewertungsinformationen, des PCI DSS-Fragebogens zur Selbsteinschätzung und des Aktionsplans für nicht konforme Anforderungen. Schließlich müssen der SAQ und der Konformitätsnachweis zusammen mit anderen angeforderten Dokumenten bei dem Acquirer, der Zahlungsmarke oder einem anderen Anforderer eingereicht werden. Der Selbstbewertungsfragebogen basiert auf den Anforderungen des PCI DSS und wird durch zusätzliche Ressourcen unterstützt, die Richtlinien und Anleitungen bereitstellen. Verkürzt: Schritte zur PCI DSS-Selbsteinschätzung: Wählen Sie den richtigen Fragebogen, erfassen Sie Ihre Umgebung, überprüfen Sie die Einhaltung, füllen Sie das Dokument aus und reichen Sie es ein. Verstehen Sie den Fragebogen und nutzen Sie die bereitgestellten Ressourcen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ausfüllen des Fragebogens zur Selbstbeurteilung Für jede Frage gibt es eine Auswahl an Antworten, die den Status Ihres Unternehmens bezüglich dieser Anforderung. Für jede Frage sollte nur eine Antwort ausgewählt werden. Eine Beschreibung der Bedeutung der einzelnen Antworten finden Sie in der nachstehenden Tabelle:
Hinweise zur Nichtanwendbarkeit bestimmter, spezifischer Anforderungen Wenn eine Anforderung auf Ihre Umgebung nicht anwendbar ist, wählen Sie die Option "N/A" für diese und füllen Sie das Arbeitsblatt "Erklärung der Nichtanwendbarkeit" in Anhang C für jede jeden "N/A"-Eintrag aus. Gesetzliche Ausnahmen Wenn Ihre Organisation einer rechtlichen Einschränkung unterliegt, die sie daran hindert, eine PCI DSS-Anforderung zu erfüllen Anforderung zu erfüllen, kreuzen Sie die Spalte "Nein" für diese Anforderung an und füllen Sie die entsprechende Bescheinigung in Teil 3 aus. | Der Fragebogen zur Selbstbeurteilung erfordert das Ausfüllen von Antworten, um den Status eines Unternehmens in Bezug auf bestimmte Anforderungen zu bewerten. Es gibt verschiedene Antwortmöglichkeiten, die den Erfüllungsstatus der Anforderungen angeben. Eine "Ja"-Antwort bedeutet, dass alle erwarteten Tests durchgeführt wurden und alle Anforderungen erfüllt wurden. Eine "Ja mit CCW" bedeutet, dass die Anforderungen mithilfe einer kompensierenden Kontrolle erfüllt wurden und ein Arbeitsblatt ausgefüllt werden muss. Eine "Nein"-Antwort bedeutet, dass einige oder alle Anforderungen nicht erfüllt wurden oder noch umgesetzt werden müssen. Eine "K.A."-Antwort bedeutet, dass die Anforderung nicht auf die Umgebung des Unternehmens zutrifft und weitere Informationen im Anhang C des Fragebogens zu finden sind. Es gibt auch Anleitungen zur Nichtanwendbarkeit bestimmter Anforderungen, die im Fragebogen enthalten sind. Verkürzt: Der Fragebogen zur Selbstbeurteilung beinhaltet verschiedene Antwortoptionen, um den Status des Unternehmens bezüglich bestimmter Anforderungen festzustellen. Die Antwortoptionen werden in einer Tabelle erläutert. Erläuterung: Hier wird dir erklärt, was die durch Adyen gegebenen Antworten im genauen bedeuten. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Abschnitt 1: Bewertungsinformationen Anweisungen zur Einreichung Dieses Dokument muss als Erklärung über die Ergebnisse der Selbstbewertung des Händlers gemäß den Payment Card Industry Data Security Standard Requirements and Security Assessment Procedures (PCI DSS). Füllen Sie alle Abschnitte aus: Der Händler ist dafür verantwortlich, dass die einzelnen Abschnitte von den jeweiligen Parteien ausgefüllt wird. Wenden Sie sich an den Acquirer (Händlerbank) oder die Zahlungsmarken, um die Melde und Übermittlungsverfahren. Teil 1. Informationen für den Händler und den qualifizierten Sicherheitsbewerter Teil 1a. Informationen zur Händlerorganisation Name des Unternehmens: DBA (doing business as Geschäft als): Name der Kontaktperson: Titel: Telefon: E-Mail: Geschäftsadresse: Stadt: Staat/Provinz: Land: Postleitzahl: URL: Teil 1b. Angaben zum Unternehmen des qualifizierten Sicherheitsgutachters (falls zutreffend) Name des Unternehmens: Name des leitenden QSA-Kontakts: Titel: Telefon: E-Mail: Geschäftsadresse: Stadt: Staat/Provinz: Land: Postleitzahl: URL: Teil 2. Zusammenfassung Teil 2a. Art des Handelsunternehmens (alle zutreffenden Angaben ankreuzen) Einzelhändler Telekommunikation Lebensmittel- und Supermärkte Petroleum E-Commerce Versandhandel/Telefonverkauf (MOTO) Andere (bitte angeben): Welche Arten von Zahlungskanälen bedient Ihr Unternehmen bedienen? Versandhandel/Telefonische Bestellung (MOTO) E-Commerce Kartenzahlung (Face-to-Face) Welche Zahlungskanäle werden von dieser SAQ abgedeckt? Versandhandel/Telefonische Bestellung (MOTO) E-Commerce Kartenzahlung (Face-to-Face) Hinweis: Wenn Ihr Unternehmen einen Zahlungskanal oder -prozess hat, der nicht von dieser SAQ abgedeckt wird, wenden Sie sich an Ihren Acquirer oder die Zahlungsmarke über die Validierung für die anderen Kanäle. | Dieses Dokument dient der Erklärung über die Ergebnisse der Selbstbewertung des Händlers gemäß den Sicherheitsbestimmungen des Payment Card Industry Data Security Standard (PCI DSS). Der Händler ist dafür verantwortlich, die erforderlichen Abschnitte auszufüllen und sich bei Fragen an die Acquirer oder Zahlungsmarken zu wenden. Teil 1a befasst sich mit den Informationen zum Unternehmen des Händlers, einschließlich des Namens, der Kontaktperson und der Kontaktinformationen. Teil 1b enthält Informationen zum Unternehmen des qualifizierten Sicherheitsgutachters. Teil 2a deckt die Art des Handelsgeschäfts ab, wie z.B. Einzelhandel, Telekommunikation oder Lebensmittel- und Supermärkte, und die Zahlungskanäle, die vom Unternehmen bedient werden. Es wird auch angegeben, welche Zahlungskanäle von dieser Selbstbewertungsfragebogen abgedeckt werden. Es wird darauf hingewiesen, dass Unternehmen, die Zahlungskanäle haben, die nicht abgedeckt sind, einen separaten Fragebogen ausfüllen müssen. Verkürzt: Dieses Dokument muss als Erklärung über die Ergebnisse der Selbstbewertung des Händlers gemäß den Payment Card Industry Data Security Standard Requirements and Security Assessment Procedures (PCI DSS) dienen. Es müssen Informationen zum Unternehmen des Händlers und des qualifizierten Sicherheitsgutachters angegeben werden. Es werden verschiedene Arten des Handelsgeschäfts und Zahlungskanäle abgefragt. Erläuterung: Hier musst du bitte deine Unternehmensdaten eingeben | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Teil 2. Zusammenfassung (Fortsetzung) Teil 2b. Beschreibung des Zahlungskartengeschäfts
Teil 2c. Standorte Auflistung der Arten von Einrichtungen (z. B. Einzelhandelsgeschäfte, Firmenbüros, Rechenzentren, Call Center usw.) und eine Zusammenfassung der Standorte, die in die PCI DSS-Überprüfung einbezogen wurden.
Teil 2d. Zahlungsanwendung Verwendet die Organisation eine oder mehrere Zahlungsanwendungen? Ja x Nein Machen Sie die folgenden Angaben zu den Zahlungsanwendungen, die Ihre Organisation verwendet:
Teil 2e. Beschreibung der Umgebung Geben Sie eine ausführliche Beschreibung des Umfelds, das Gegenstand dieser Bewertung ist.
| In Teil 2b geht es um das Zahlungskartengeschäft, bei dem es darum geht, wie und in welchem Umfang das Unternehmen Karteninhaberdaten speichert, verarbeitet und übermittelt. In Teil 2c werden die Arten von Einrichtungen aufgelistet, die in die PCI DSS-Überprüfung einbezogen werden, sowie eine Zusammenfassung der Standorte dieser Einrichtungen. In Teil 2d wird erfragt, ob die Organisation eine oder mehrere Zahlungsanwendungen verwendet, und falls ja, müssen Angaben zu diesen gemacht werden, wie zum Beispiel Name, Version und Anbieter. Es wird auch gefragt, ob die Anwendung PA-DSS-gelistet ist und das Datum der PA-DSS-Listung angegeben werden soll. In Teil 2e wird eine detaillierte Beschreibung der Umgebung der Bewertung gefordert, wie zum Beispiel Verbindungen zu und von den Karteninhaberdaten, kritische Systemkomponenten innerhalb der Umgebung und ob das Unternehmen Netzwerksegmentierung verwendet, um den Umfang der PCI DSS Umgebung zu beeinflussen. Verkürzt: Die Organisation speichert, verarbeitet und übermittelt Karteninhaberdaten in ihrem Zahlungskartengeschäft. Die Standorte, die in die PCI DSS-Überprüfung einbezogen wurden, umfassen Einzelhandelsgeschäfte, Unternehmensniederlassungen, Rechenzentren und Callcenter. Die Organisation verwendet eine oder mehrere Zahlungsanwendungen, von denen einige PA-DSS-gelistet sind. Das Umfeld der Bewertung umfasst Verbindungen in und aus der Umgebung der Karteninhaberdaten sowie kritische Systemkomponenten in der Umgebung. Das Unternehmen verwendet Netzwerksegmentierung, um den Umfang der PCI DSS-Umgebung zu beeinflussen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Teil 2. Zusammenfassung (Fortsetzung) Teil 2f. Drittanbieter von Dienstleistungen Nutzt Ihr Unternehmen einen qualifizierten Integrator und Wiederverkäufer (QIR)?
Gibt Ihr Unternehmen Karteninhaberdaten an Drittanbieter weiter (zum Beispiel Qualified Integrator & Resellers (QIR), Gateways, Zahlungsabwickler, Zahlungsdienstleister Zahlungsdienstleister (PSP), Web-Hosting-Unternehmen, Flugbuchungsagenten, Vertreter von Treueprogrammen Agenten, etc.)?
Hinweis: Die Randnummer 12.8 gilt für alle in dieser Liste aufgeführten Einrichtungen. Teil 2g. Berechtigung zum Ausfüllen des SAQ A Der Händler bestätigt, dass er berechtigt ist, diese verkürzte Fassung des Fragebogens zur Selbsteinschätzung auszufüllen für diesen Zahlungskanal:
| Teil 2f. In diesem Abschnitt geht es darum, ob das Unternehmen einen qualifizierten Integrator und Wiederverkäufer (QIR) nutzt und ob es Kartendaten an Drittanbieter weitergibt. Wenn ja, werden der Name des QIR-Unternehmens, der Name der QIR-Person und eine Beschreibung der erbrachten Dienstleistungen abgefragt. Teil 2g. Hier wird bestätigt, dass das Unternehmen berechtigt ist, den Fragebogen zur Selbsteinschätzung auszufüllen, da es für einen bestimmten Zahlungskanal nur kartenlose Transaktionen akzeptiert oder die gesamte Verarbeitung von Kartendaten an PCI DSS-validierte Drittanbieter ausgelagert hat. Es werden auch weitere Bedingungen genannt, wie z.B. dass keine Kartendaten elektronisch gespeichert oder übertragen werden und dass alle Drittanbieter PCI DSS-konform sind. Zudem wird erwähnt, dass alle vom Unternehmen aufbewahrten Kartendaten in Papierform vorliegen und nicht elektronisch empfangen werden. Verkürzt: Teil 2f. Informationen zu einem qualifizierten Integrator und Wiederverkäufer (QIR): - Ist ein QIR vorhanden? - Name des QIR-Unternehmens und der QIR-Person - Beschreibung der Dienstleistungen des QIR Teil 2g. Berechtigung zur Ausfüllung des Fragebogens SAQ A: - Der Händler akzeptiert nur kartenlose Transaktionen. - Alle Karteninhaberdaten werden an PCI DSS-validierte Drittanbieter ausgelagert. - Der Händler speichert, verarbeitet oder überträgt keine Karteninhaberdaten elektronisch auf seinen Systemen oder in seinen Räumlichkeiten. - Alle Drittanbieter sind PCI DSS-konform. - Karteninhaberdaten werden nur in Papierform aufbewahrt. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Abschnitt 2: Fragebogen zur Selbstbeurteilung A Hinweis: Die folgenden Fragen sind entsprechend den PCI DSS-Anforderungen und Prüfverfahren nummeriert, wie sie im PCI DSS Requirements and Security Assessment Procedures definiert sind. Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme Anforderung 2: Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte für Systempasswörter und andere Sicherheitsparameter.
| Im Abschnitt 2 des Fragebogens zur Selbstbeurteilung des PCI DSS geht es um die Anforderungen an die Verwendung von herstellerseitigen Standardwerten für Systemkennwörter und andere Sicherheitsparameter. Es wird gefragt, ob die Standardpasswörter, die vom Hersteller bereitgestellt werden, vor der Installation eines Systems im Netzwerk immer geändert werden. Dies betrifft alle Standardpasswörter, einschließlich Betriebssysteme, Software für Sicherheitsdienste, Anwendungen, Systemkonten, POS-Terminals, Zahlungsanwendungen und SNMP-Community-Strings. Es wird auch gefragt, ob unnötige Standardkonten vor der Installation eines Systems entfernt oder deaktiviert werden. Die Überprüfung erfolgt durch das Prüfen der Richtlinien und Verfahren, die Überprüfung der Dokumentation des Anbieters, das Prüfen von Systemkonfigurationen und Kontoeinstellungen sowie das Befragen des Personals. Die Antwort auf beide Fragen sollte entweder "Ja" oder "Ja mit CCW" sein. Verkürzt: Abschnitt 2: Fragebogen zur Selbstbeurteilung A Es gibt Fragen zur Einhaltung der PCI DSS-Anforderungen, insbesondere zur Verwendung von Standardwerten für Systemkennwörter und Konten. Die Antworten werden getestet und müssen den Anforderungen entsprechend ausgewählt werden. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Aufrechterhaltung eines Programms zur Verwaltung von Schwachstellen Anforderung 6: Entwicklung und Pflege sicherer Systeme und Anwendungen
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Implementierung strenger Zugangskontrollmaßnahmen Anforderung 8: Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten
| In diesem Text geht es um die Umsetzung strenger Zugangskontrollmaßnahmen gemäß den Anforderungen des PCI DSS. Es werden verschiedene Fragen gestellt, die die Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten betreffen. Zum Beispiel wird gefragt, ob allen Benutzern eine eindeutige ID zugewiesen wird und ob der Zugang für alle beendeten Benutzer sofort deaktiviert oder entfernt wird. Zudem wird gefragt, ob neben der eindeutigen ID auch eine oder mehrere Methoden zur Authentifizierung der Benutzer verwendet werden, wie z.B. ein Passwort, ein Token-Gerät, eine Chipkarte oder ein biometrisches Merkmal. Des Weiteren wird gefragt, ob die Passwörter bestimmte Anforderungen erfüllen, wie eine Mindestlänge von sieben Zeichen und die Verwendung von numerischen und alphabetischen Zeichen. Es wird auch empfohlen, die Systemkonfigurationseinstellungen zu überprüfen. Verkürzt: Es wird empfohlen, strenge Zugangskontrollmaßnahmen zu implementieren und bestimmte Anforderungen zu erfüllen, wie z.B. die Zuweisung eindeutiger Benutzer-IDs, die sofortige Deaktivierung oder Entfernung von Zugängen für beendete Benutzer und die Verwendung verschiedener Methoden zur Authentifizierung. Des Weiteren sollten Passwortparameter festgelegt werden, wie eine Mindestlänge von sieben Zeichen und das Vorhandensein von numerischen und alphabetischen Zeichen. Es wird auch empfohlen, die Systemkonfigurationseinstellungen zu überprüfen. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anforderung 9: Beschränkung des physischen Zugangs zu Karteninhaberdaten
| Die Passage behandelt Fragen zum PCI DSS und den zu erwartenden Tests. In Frage 8.5 wird gefragt, ob gemeinsame Konten, Passwörter und andere Authentifizierungsmethoden verboten sind, die zur Verwaltung von Systemkomponenten verwendet werden. In Anforderung 9 geht es um die Beschränkung des physischen Zugriffs auf Karteninhaberdaten. Hier wird gefragt, ob alle Medien (z. B. Computer, elektronische Datenträger, Papierbelege) physisch gesichert sind. Außerdem wird gefragt, ob eine strenge Kontrolle über die Verteilung von Medien besteht und ob die Medien klassifiziert sind, um die Sensibilität der Daten zu bestimmen. Die vorgeschlagenen Tests beinhalten die Überprüfung der Richtlinien und Verfahren sowie Befragungen des Personals und des Sicherheitspersonals. Verkürzt: PCI DSS stellt Fragen zu erwarteten Tests und Prüfungen zur Sicherheit von Benutzerkonten und physischem Zugriff auf Kundendaten. Richtlinien und Verfahren werden überprüft, und Mitarbeiter werden befragt. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Das Dokument behandelt verschiedene Fragen im Zusammenhang mit der Sicherheit und Vernichtung von Medien gemäß dem PCI DSS-Standard. Es werden verschiedene Kontrollmaßnahmen vorgeschlagen, um sicherzustellen, dass Medien sicher verwaltet und vernichtet werden. Dazu gehören die Verfolgung der Medien durch gesicherte Kuriere oder andere nachverfolgbare Methoden, die Genehmigung der Geschäftsleitung vor der Verteilung von Medien, strenge Kontrollen für die Lagerung und Zugänglichkeit von Medien sowie die regelmäßige Vernichtung von Medien, die nicht mehr benötigt werden. Die Vernichtung von Papiermaterial soll durch Querschreddern, Verbrennen oder Zerkleinern erfolgen, um eine Rekonstruktion von Kartendaten zu verhindern. Zusätzlich sollten die Lagerbehälter für Materialien, die zu vernichtende Informationen enthalten, ausreichend gesichert sein, um unbefugten Zugriff zu verhindern. Es wird empfohlen, das Personal zu befragen, die Protokolle und Unterlagen zur Medienverteilung und -vernichtung zu überprüfen sowie die Sicherheit der Lagerbehälter zu prüfen. Verkürzt: Es werden Fragen zur Einhaltung der PCI-DSS-Anforderungen zum Schutz von Medien gestellt, wie den Einsatz eines sicheren Kuriers, die Genehmigung der Geschäftsleitung für die Verteilung von Medien und die sichere Lagerung und Vernichtung von Medien. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Beibehaltung einer Informationssicherheitspolitik Anforderung 12: Führen Sie eine Richtlinie zur Informationssicherheit für das gesamte Personal. Hinweis: Im Sinne von Anforderung 12 bezieht sich der Begriff "Personal" auf Vollzeit- und Teilzeitbeschäftigte, Zeitarbeitskräfte und Personal sowie Auftragnehmer und Berater, die am Standort des Unternehmens "ansässig" sind oder anderweitig Zugang zur Karteninhaberdatenumgebung des Unternehmens vor Ort haben.
| In Anforderung 12 wird gefordert, dass Unternehmen eine Richtlinie zur Informationssicherheit für ihr gesamtes Personal haben, einschließlich Vollzeit- und Teilzeitbeschäftigten, Zeitarbeitskräften sowie Auftragnehmern und Beratern, die Zugang zur Karteninhaberdatenumgebung des Unternehmens haben. Die PCI DSS-Fragen in Bezug auf diese Anforderung beinhalten die Beibehaltung von Strategien und Verfahren zur Verwaltung von Dienstleistern, die Karteninhaberdaten austauschen oder die Sicherheit der Daten von Karteninhabern beeinflussen können. Dazu gehört auch das Führen einer Liste von Dienstleistern und das Vorliegen einer schriftlichen Vereinbarung, in der die Verantwortlichkeit des Dienstleisters für die Sicherheit der Karteninhaberdaten festgelegt ist. Der genaue Wortlaut der Bestätigung in der Vereinbarung hängt von den Details der Dienstleistung und den Verantwortlichkeiten beider Parteien ab. Es ist jedoch nicht erforderlich, dass der genaue Wortlaut der Bestätigung in der Richtlinie enthalten ist. Es ist auch wichtig, die Richtlinie und Verfahren regelmäßig zu überprüfen und die Prozesse zu beobachten. Verkürzt: Es wird empfohlen, Richtlinien zur Informationssicherheit für alle Mitarbeiter zu erstellen und eine Liste der Dienstleister zu führen, die die Karteninhaberdaten speichern oder verarbeiten. Es sollte auch eine schriftliche Vereinbarung mit den Dienstleistern getroffen werden, um ihre Verantwortlichkeiten für die Sicherheit der Daten zu bestätigen. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anhang A: Zusätzliche PCI DSS-Anforderungen Anhang A1: Zusätzliche PCI DSS-Anforderungen für Shared Hosting-Anbieter Dieser Anhang wird nicht für Händlerbewertungen verwendet. Anhang A2: Zusätzliche PCI DSS-Anforderungen für Einrichtungen, die SSL/frühes TLS für POS-POI-Terminal-Verbindungen mit Kartenzahlung Dieser Anhang wird nicht für SAQ A-Händlerbewertungen verwendet. Anhang A3: Ergänzende Validierung für benannte Stellen (DESV) Dieser Anhang gilt nur für Einrichtungen, die von einer oder mehreren Zahlungsmarken oder einem Acquirer als die eine zusätzliche Validierung der bestehenden PCI DSS-Anforderungen benötigen. Unternehmen, die nach diesem Anhang validieren müssen müssen, sollten die DESV Supplemental Reporting Template und die Supplemental Attestation of Compliance für die verwenden und sich bezüglich der Einreichungsverfahren mit der jeweiligen Zahlungsmarke und/oder dem Acquirer in Verbindung setzen. | Anhang A des PCI DSS enthält zusätzliche Anforderungen, die für bestimmte Arten von Unternehmen gelten. Anhang A1 betrifft Shared Hosting-Anbieter, während Anhang A2 sich auf Einrichtungen bezieht, die SSL/frühes TLS für POS-POI-Terminal-Verbindungen mit Kartenzahlung nutzen. Diese Anhänge werden nicht für Händlerbewertungen nach dem SAQ A-Standard verwendet. Anhang A3 betrifft Unternehmen, die von Zahlungsmarken oder Acquirern benannt wurden und eine zusätzliche Validierung ihrer PCI DSS-Anforderungen benötigen. Diese Unternehmen müssen das DESV Supplemental Reporting Template und die Supplemental Attestation of Compliance verwenden und sich bezüglich der Einreichungsverfahren mit der jeweiligen Zahlungsmarke und/oder dem Acquirer in Verbindung setzen. Verkürzt: Es gibt verschiedene Anhänge zu den PCI DSS-Anforderungen, die zusätzliche Anforderungen für Shared Hosting-Anbieter, POS-POI-Terminal-Verbindungen mit Kartenzahlung und bestimmte Unternehmen festlegen, die von einer Zahlungsmarke oder Acquirer benannt wurden. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anhang B: Arbeitsblatt "Kompensationssteuerungen Verwenden Sie dieses Arbeitsblatt, um Ausgleichssteuerungen für alle Anforderungen zu definieren, bei denen "JA mit Linkslauf" angekreuzt wurde. Hinweis: Nur Unternehmen, die eine Risikoanalyse durchgeführt haben und über legitime technische oder dokumentierte geschäftliche Einschränkungen haben, können die Verwendung von kompensierenden Kontrollen in Betracht ziehen, um die Einhaltung der Anforderungen zu erreichen. In den Anhängen B, C und D des PCI DSS finden Sie Informationen zu kompensierenden Kontrollen und eine Anleitung wie dieses Arbeitsblatt auszufüllen ist. Anforderungsnummer und Definition:
| Das Arbeitsblatt "Kompensationssteuerungen" dient dazu, Ausgleichssteuerungen für Anforderungen zu definieren, bei denen "JA mit Linkslauf" angekreuzt wurde. Die Verwendung von kompensierenden Kontrollen ist nur für Unternehmen möglich, die eine Risikoanalyse durchgeführt haben und legitime technische oder geschäftliche Einschränkungen haben. Die Anhänge B, C und D des PCI DSS enthalten Informationen zu kompensierenden Kontrollen und eine Anleitung zur Ausfüllung des Arbeitsblatts. Das Arbeitsblatt erfordert die Angabe von Informationen zu verschiedenen Aspekten der kompensierenden Kontrollen, wie Einschränkungen, Zielsetzung, identifiziertem Risiko, Definition der Kompensation, Validierung der Kompensationskontrollen und Wartung. Diese Informationen helfen dabei, die Einhaltung der Anforderungen zu erreichen und die Wirksamkeit der kompensierenden Kontrollen sicherzustellen. Verkürzt: Das Arbeitsblatt "Kompensationssteuerungen" wird verwendet, um Ausgleichssteuerungen für bestimmte Anforderungen zu definieren. Es gibt Anweisungen zur Erfassung von Informationen und zur Validierung und Wartung dieser Kontrollen. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anhang C: Erläuterung der Nichtanwendbarkeit Wenn die Spalte "N/A" (Nicht zutreffend) im Fragebogen angekreuzt wurde, verwenden Sie dieses Arbeitsblatt, um zu erklären, warum warum die betreffende Anforderung auf Ihre Organisation nicht anwendbar ist.
| Die Spalte "N/A" (Nicht zutreffend) im Fragebogen ermöglicht es, zu erklären, warum die entsprechende Anforderung nicht auf die Organisation anwendbar ist. In dem Beispiel wird erklärt, dass keine Karteninhaberdaten elektronisch oder physisch gespeichert werden und kein Zugang zu Entschlüsselungsschlüsseln besteht. In den verschiedenen Abschnitten des Anhangs werden weitere Gründe genannt, warum bestimmte Anforderungen nicht zutreffen. Zum Beispiel werden keine Karteninhaberdaten gespeichert, verarbeitet oder übermittelt und es besteht kein Zugang zu Entschlüsselungscodes. Es wird betont, dass keine Karteninhaberdaten physisch oder elektronisch gespeichert, verarbeitet oder übermittelt werden und kein Zugang zu den Entschlüsselungsschlüsseln besteht. Die Abschnitte 9.6.2, 9.6.1, 9.6.3, 9.8 und 9.7 werden als Beispiele für Anforderungen genannt, die nicht auf die Organisation anwendbar sind. Verkürzt: In Anhang C werden die Gründe erläutert, warum bestimmte Anforderungen nicht auf die Organisation zutreffen. Es wird erklärt, dass keine Karteninhaberdaten gespeichert, verarbeitet oder übertragen werden und kein Zugriff auf Entschlüsselungsschlüssel besteht. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Abschnitt 3: Validierungs- und Bescheinigungsdetails
Dieses AOC basiert auf den Ergebnissen, die in SAQ A (Abschnitt 2), datiert (SAQ-Abschlussdatum), vermerkt sind. Auf der Grundlage der in der oben genannten SAQ A dokumentierten Ergebnisse bestätigen die in den Teilen 3b-3d genannten Unterzeichner den folgenden Konformitätsstatus für die in Teil 2 dieses Dokuments genannte Einrichtung: (bitte ankreuzen):
| Abschnitt 3 des Textes befasst sich mit Validierungs- und Bescheinigungsdetails im Zusammenhang mit der PCI DSS-Validierung. Das zugehörige AOC (Attestation of Compliance) basiert auf den Ergebnissen des SAQ A (Self-Assessment Questionnaire A) und wird datiert. Die Unterzeichner bestätigen den Konformitätsstatus der angegebenen Stelle gemäß den in SAQ A festgehaltenen Ergebnissen, wobei entweder ein Status von "Erfüllt" oder "Nicht-konform" vermerkt wird. Unternehmen, die den Status "Nicht-konform" angeben, müssen möglicherweise einen Aktionsplan erstellen und in Teil 4 des Dokuments ausfüllen. Wenn der Status "Erfüllt, aber mit rechtlicher Ausnahme" vermerkt wird, bedeutet dies, dass eine oder mehrere Anforderungen aufgrund rechtlicher Beschränkungen nicht erfüllt werden können und eine zusätzliche Überprüfung durch den Acquirer oder die Zahlungsmarke erforderlich ist. In diesem Fall müssen Details dazu angegeben werden, welche Anforderungen betroffen und warum sie aufgrund rechtlicher Beschränkungen nicht erfüllt werden können. In Teil 3a wird der Status vom/den Unterzeichner(n) bestätigt. Verkürzt: Dieser Abschnitt enthält Details zur Validierung und Bestätigung des PCI DSS-Status. Je nach Ergebnis der Validierung wird die Einhaltung des PCI DSS entweder bestätigt oder es besteht die Notwendigkeit, einen Aktionsplan auszufüllen. Es gibt auch die Möglichkeit, dass bestimmte Anforderungen aufgrund rechtlicher Beschränkungen nicht erfüllt werden können. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Unterschrift hier
1 Im Magnetstreifen kodierte Daten oder gleichwertige Daten auf einem Chip, der zur Autorisierung während einer Kartentransaktion verwendet wird. Unternehmen dürfen nach der Transaktionsautorisierung keine vollständigen Spurdaten aufbewahren. Die einzigen Elemente der Spurdaten, die aufbewahrt werden dürfen, sind die primäre Kontonummer (PAN), das Ablaufdatum und der Name des Karteninhabers. 2 Der drei- oder vierstellige Wert, der auf dem Unterschriftsfeld oder auf der Vorderseite einer Zahlungskarte aufgedruckt ist und zur Verifizierung von Transaktionen mit nicht-gegenwärtiger Karte dient. 3 Persönliche Identifikationsnummer, die der Karteninhaber bei einer kartengestützten Transaktion eingibt. | Der Text beschäftigt sich mit dem dritten Teil der PCI-DSS-Validierung. Es wird festgestellt, dass bei der Überprüfung der Systeme keine Beweise für die Speicherung von vollständigen Track-Daten, CAV2-, CVC2-, CID- oder CVV2-Daten oder PIN-Daten nach der Transaktionsautorisiserung gefunden wurden. Die ASV-Scans wurden von einem zugelassenen Scanning-Anbieter namens ASV-Name durchgeführt. Im nächsten Teil wird die Bescheinigung des Händlers diskutiert, die von einem leitenden Angestellten des Händlers unterzeichnet werden muss. Der Teil 3c besagt, dass, falls ein qualifizierter Sicherheitsgutachter (QSA) an der Bewertung beteiligt war oder sie unterstützt hat, die Rolle des QSA beschrieben werden soll und eine Unterschrift und Angaben zum Unternehmen des QSA benötigt werden. Abschließend wird in Teil 3d festgehalten, dass, falls ein oder mehrere interne Sicherheitsgutachter (ISA) an der Bewertung beteiligt waren, die Mitarbeiter des ISA angegeben werden sollen und ihre wahrgenommene Rolle beschrieben werden muss. Es werden noch weitergehende Informationen zu den im Text genannten Datenbegriffen gegeben. Verkürzt: Es wurden keine Beweise für die Speicherung von bestimmten Kartendaten oder PIN-Daten in den überprüften Systemen gefunden. Der Händler und gegebenenfalls der Sicherheitsgutachter sollten die Bewertung bestätigen. Erläuterung: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Diese Textpassage behandelt den Aktionsplan für nicht-konforme Anforderungen im Rahmen des PCI-DSS (Payment Card Industry Data Security Standard). Für jede Anforderung muss angegeben werden, ob das Unternehmen konform mit den PCI-DSS-Anforderungen ist. Falls eine Anforderung nicht erfüllt ist, müssen das voraussichtliche Datum der Behebung und eine kurze Beschreibung der ergriffenen Maßnahmen angegeben werden. Bevor der Abschnitt 4 ausgefüllt wird, soll Rücksprache mit dem Acquirer oder den Zahlungsmarken gehalten werden. Es werden verschiedene Anforderungen aufgelistet, wie beispielsweise die Verwendung von Standardwerten für Systemkennwörter und andere Sicherheitsparameter, die Entwicklung und Pflege von sicheren Systemen und Anwendungen, die Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten, die Beschränkung des physischen Zugriffs auf Karteninhaberdaten und die Beibehaltung einer Richtlinie zur Informationssicherheit für das gesamte Personal. Die angegebenen PCI-DSS-Anforderungen beziehen sich auf die Fragen in Abschnitt 2 des SAQ (Self-Assessment Questionnaire). Verkürzt: Der Aktionsplan für nicht-konforme Anforderungen beinhaltet das Ausfüllen von Teil 4 des PCI DSS-Berichts, in dem die Konformität mit den Anforderungen bewertet wird. Der Bericht umfasst Anforderungen wie die Verwendung sicherer Systemkennwörter, die Entwicklung sicherer Systeme und Anwendungen sowie die Begrenzung des physischen Zugriffs auf Karteninhaberdaten. Erläuterung: |