PCI-Compliance-SAQ: 9 Typen und welcher der richtige für Sie ist

Was ist ein PCI-Selbstbewertungsfragebogen (SAQ)?

Ein PCI-Selbstbewertungsfragebogen (SAQ) ist ein Formular, das von Händlern und Dienstleistern, die Kreditkartendaten verarbeiten, verwendet wird, um ihre Konformität mit dem Payment Card Industry Data Security Standard (PCI DSS) zu bewerten und zu erklären. Der SAQ hilft Unternehmen, Sicherheitslücken zu identifizieren und sicherzustellen, dass sie die Branchenstandards zum Schutz von Karteninhaberdaten einhalten.

Abhängig von den verwendeten Kartenverarbeitungsmethoden und dem Transaktionsvolumen müssen Unternehmen möglicherweise unterschiedliche Versionen des SAQ ausfüllen. Das erfolgreiche Ausfüllen eines SAQ zeigt das Engagement eines Unternehmens für eine sichere Zahlungsumgebung.
Beim Ausfüllen eines SAQ müssen Sie eine Reihe von Fragen zur Sicherheit von Karteninhaberdaten beantworten. Die Fragen sollen die Einhaltung der PCI DSS-Anforderungen durch das Unternehmen bewerten. Diese reichen von der Aufrechterhaltung sicherer Systeme und dem Schutz von Karteninhaberdaten über die Behebung von Schwachstellen bis hin zur Implementierung strenger Zugriffskontrollmaßnahmen.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

Wer muss einen PCI DSS-Selbstbewertungsfragebogen ausfüllen?

SAQs gelten nur für kleinere Händler der PCI-Stufen 3 und 4 mit weniger als einer Million Transaktionen pro Jahr und in einigen Fällen der PCI-Stufe 2 mit ein bis sechs Millionen Transaktionen pro Jahr. Für diese Händler reichen SAQs aus, um die PCI-Konformität zu erreichen. Größere Händler müssen stattdessen ein externes Audit durch einen Qualified Security Assessor (QSA) durchführen und einen vollständigen Compliance-Bericht (RoC) einreichen.

Allerdings könnten alle Unternehmen, die die PCI-DSS-Standards einhalten müssen, von der freiwilligen Ausfüllung eines SAQ profitieren, da dies dazu beitragen kann, Compliance-Lücken zu erkennen und ihre Bereitschaft zu verbessern, als Vorbereitung auf ein externes Audit und RoC.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, den PCI Self-Assessment Questionnaire (SAQ)-Prozess besser zu nutzen und Ihre gesamten PCI DSS-Compliance-Bemühungen zu optimieren:

Verwenden Sie automatisierte Compliance-Tools
Lösungen wie Exabeam Fusion SIEM können die Transparenz verbessern und die Compliance optimieren. Automatisieren Sie die Protokollerfassung, Überwachung und Berichterstattung, um kontinuierliche Compliance und eine schnellere Reaktion auf Vorfälle zu gewährleisten.

Ordnen Sie Ihren Karteninhaberdatenfluss zu
Bevor Sie einen SAQ auswählen, führen Sie eine detaillierte Datenflussanalyse durch, um zu ermitteln, wie Karteninhaberdaten in Ihre Systeme gelangen, diese durchlaufen und wieder verlassen. So stellen Sie sicher, dass Sie den richtigen SAQ-Typ auswählen und die zu sichernden Bereiche hervorheben.

Nutzen Sie Tokenisierung und Verschlüsselung
Erwägen Sie die Implementierung von Tokenisierung und End-to-End-Verschlüsselung, um den PCI-Umfang zu minimieren. Diese Technologien reduzieren das Risiko und vereinfachen die Einhaltung der Vorschriften, wodurch viele SAQs leichter auszufüllen sind.

Frühzeitige Zusammenarbeit mit Drittanbietern
Wenn Sie auf externe Zahlungsabwickler oder Dienstleister angewiesen sind, stellen Sie sicher, dass diese einen Nachweis über ihre PCI-DSS-Konformität vorlegen (z. B. eine Konformitätsbescheinigung). Diese Dokumentation ist für SAQ A, A-EP und verwandte Typen von entscheidender Bedeutung.

Überwachen Sie kontinuierlich die Ausweitung des Umfangs
Mit der Zeit können neue Anwendungen, Systeme oder Geschäftsprozesse unbeabsichtigt Karteninhaberdaten in Bereiche einbringen, die zuvor außerhalb des Geltungsbereichs lagen. Überprüfen Sie regelmäßig die Grenzen Ihrer PCI-Umgebung.

Die 9 Arten von PCI SAQs und ihre Anwendbarkeit

Hier finden Sie eine Übersicht über die verschiedenen Arten von SAQs, die zum Nachweis der PCI DSS-Konformität verwendet werden.

SAQ A

SAQ A gilt für Händler, die alle Karteninhaberdatenfunktionen an PCI DSS-konforme Drittanbieter auslagern und keine Karteninhaberdaten in ihren Systemen oder Räumlichkeiten elektronisch speichern, verarbeiten oder übertragen. Typischerweise handelt es sich dabei um E-Commerce-Unternehmen, die Kunden an einen Drittanbieter-Zahlungsabwickler weiterleiten.

Händler, die für SAQ A in Frage kommen, müssen sicherstellen, dass ihre Drittanbieter PCI DSS-konform sind. Dies reduziert das Risiko von Karteninhaberdaten. Mit dem Ausfüllen von SAQ A bestätigen Sie, dass Sie Kartendaten nicht direkt verarbeiten und sich bei der Zahlungsabwicklung auf konforme Anbieter verlassen.

SAQ A-EP

SAQ A-EP richtet sich an E-Commerce-Händler, die die gesamte Zahlungsabwicklung an PCI DSS-konforme Drittanbieter delegieren, aber eine Website nutzen, die die Sicherheit der Zahlungstransaktion beeinträchtigen könnte, beispielsweise eine Zahlungsseite. Diese Händler verarbeiten Kreditkartendaten nicht direkt, müssen aber sicherstellen, dass ihre digitalen Umgebungen die Transaktionssicherheit nicht gefährden.

Die Teilnahme am SAQ A-EP setzt die Nutzung von Webtechnologien voraus, die Kunden sicher an Zahlungsabwickler weiterleiten oder in Iframes darstellen. Händler, die den SAQ A-EP absolvieren, müssen nachweisen, dass ihre Webseiten sicher sind und keine Schwachstellen im Zahlungsprozess aufweisen.

SAQ B

SAQ B richtet sich an Händler, die eigenständige Dial-Out-Terminals für die Kartenverarbeitung verwenden und keine elektronische Speicherung der Karteninhaberdaten benötigen. Dieser SAQ eignet sich für Unternehmen mit einfachen Kartenverarbeitungssystemen, die im Transaktionsprozess keine Internetverbindung benötigen.

Händler, die für SAQ B in Frage kommen, legen Wert auf die Sicherung der physischen Umgebung des Terminals und stellen sicher, dass das Terminal selbst den PCI-Standards entspricht. Die Antworten in SAQ B drehen sich um physische Sicherheitsmaßnahmen und isolierte Zahlungsterminals.

SAQ B-IP

SAQ B-IP ist für Händler gedacht, die eigenständige, IP-verbundene Terminals nutzen, die keine Karteninhaberdaten elektronisch speichern. Im Gegensatz zu SAQ B werden diese Terminals über das Internet mit Zahlungsabwicklern verbunden, was zusätzliche Sicherheitskontrollen zum Schutz der Transaktionsdaten erfordert.

Für die Teilnahme am SAQ B-IP müssen Händler die Netzwerkumgebung rund um IP-verbundene Terminals sichern, Firewalls implementieren und die Software regelmäßig aktualisieren, um sie vor Schwachstellen zu schützen. Der Schwerpunkt liegt auf der Aufrechterhaltung der Terminal- und Netzwerksicherheit bei der internetbasierten Zahlungsabwicklung.

SAQ C

SAQ C richtet sich an Händler mit internetfähigen Zahlungsanwendungssystemen, die keine Karteninhaberdaten speichern. Dies gilt für Unternehmen, die im Vergleich zu Unternehmen mit eigenständigen Terminals über komplexere Zahlungssysteme verfügen, aber dennoch keine Daten elektronisch speichern.

Voraussetzung für die Teilnahme am SAQ C ist die Nutzung einer Zahlungssoftware und eine Internetverbindung zur Transaktionsabwicklung. Die Sicherheitsmaßnahmen konzentrieren sich auf den Schutz des Systems vor Online-Bedrohungen, die Sicherung der Zahlungssoftware und die Gewährleistung einer sicheren Internetverbindung.

SAQ C-VT

SAQ C-VT richtet sich an Händler, die Karteninhaberdaten manuell in eine internetbasierte virtuelle Terminallösung eines Drittanbieters eingeben, ohne Kreditkartendaten zu speichern. In diesem Szenario handelt es sich häufig um Callcenter oder Versandhändler, die Kartenzahlungen manuell verarbeiten.

Händler, die den SAQ C-VT absolvieren, müssen die Sicherheit ihrer virtuellen Terminalumgebung gewährleisten, Zugriffskontrollen zum Schutz der Daten implementieren und ihre Antivirensoftware regelmäßig aktualisieren. Der SAQ C-VT legt den Schwerpunkt auf Cybersicherheitsmaßnahmen für Umgebungen, in denen Daten manuell eingegeben, aber nicht gespeichert werden.

SAQ P2PE-HW

SAQ P2PE-HW richtet sich an Händler, die Hardware-Zahlungsterminals innerhalb einer validierten und PCI SSC-gelisteten Point-to-Point Encryption (P2PE)-Lösung verwenden. Dies reduziert den Umfang der PCI DSS-Anforderungen erheblich, indem Daten direkt im Zahlungsterminal verschlüsselt werden.

Die Teilnahme am SAQ P2PE-HW erfordert die Verwendung zugelassener P2PE-Hardwaregeräte. Das Ausfüllen dieses SAQ beinhaltet die Bestätigung der Verwendung dieser Geräte und den Nachweis der Einhaltung der P2PE-Anweisungen, wobei der Schwerpunkt auf der sicheren Abwicklung und Verarbeitung von Transaktionen liegt.

SAQ D für Händler

SAQ D für Händler richtet sich an diejenigen, die Karteninhaberdaten speichern, verarbeiten oder übertragen und nicht in die Kategorien der anderen SAQ-Typen passen. Dies ist der umfassendste SAQ und deckt alle PCI-DSS-Anforderungen ab, da der direkte Umgang mit Karteninhaberdaten mit einem erhöhten Risiko verbunden ist.

Das Ausfüllen des SAQ D für Händler erfordert eine gründliche Bewertung der Zahlungsabwicklungsumgebung des Unternehmens, einschließlich Netzwerksicherheit, Datenschutzmaßnahmen und Zugriffskontrollen. Es erfordert genauestens die Beachtung aller Details und umfassende Sicherheitspraktiken.

SAQ D für Dienstleister

Ähnlich wie SAQ D für Händler, richtet sich dieser SAQ an Dienstleister und an Unternehmen, die Karteninhaberdaten im Auftrag von Händlern verwalten. Er deckt Dienstleistungen von Hosting und Zahlungsabwicklung bis hin zur Datenspeicherung ab.

Dienstleister, die den SAQ D ausfüllen, müssen nachweisen, dass sie alle geltenden PCI DSS-Anforderungen erfüllen. Der Schwerpunkt liegt dabei auf dem Schutz gespeicherter Daten, der Netzwerksicherung und der Verwaltung von Zugriffskontrollen. Dieser SAQ stellt sicher, dass Dienstleister eine sichere Umgebung für die Karteninhaberdaten ihrer Kunden gewährleisten.

Was ist neu in Version 3 der PCI SAQs?

Version 3 der PCI DSS-Selbstbewertungsfragebögen (SAQs) enthält mehrere wichtige Aktualisierungen, die Unternehmen klarere Anleitungen bieten und den Bewertungsprozess vereinfachen sollen. Die Aktualisierungen umfassen:

• Aktualisiertes Format: Die SAQs verfügen nun über ein intuitiveres Format, einschließlich der Spalte „Erwartete Tests“, in der die spezifischen Testaktivitäten beschrieben werden, die Unternehmen zur Bewertung jeder PCI DSS-Anforderung durchführen sollten. Dies soll Unternehmen dabei helfen, den Compliance-Status genauer zu bestimmen.
• Antwortmöglichkeiten: Die bisherige Spalte „Spezial“ wurde in zwei neue Spalten aufgeteilt: „Ja mit CCW“ (Compensating Control Worksheet) und „N/A“ (Nicht zutreffend), wodurch präzisere Antworten auf die PCI DSS-Anforderungen möglich sind.
• Anleitung und Struktur: Zu Beginn jedes SAQ finden Sie nun zusätzliche Hinweise zum korrekten Ausfüllen des Fragebogens. Darüber hinaus wurde die Struktur innerhalb der SAQ-Dokumente für mehr Kohärenz neu organisiert. Die Teile 3 und 4 der Konformitätsbescheinigung (AOC) folgen nun dem Fragebogenabschnitt, um umfassende Bescheinigungen zu gewährleisten.

Diese Änderungen sollten die Klarheit und Nützlichkeit der SAQs verbessern, Organisationen bei ihrem Selbstbewertungsprozess unterstützen und eine genauere Darstellung ihrer Konformität mit den PCI DSS-Standards gewährleisten.

So reichen Sie Ihren PCI DSS SAQ ein

Sobald der entsprechende SAQ ausgefüllt ist, muss er zusammen mit allen erforderlichen Validierungsdokumenten wie angegeben an die Acquiring-Bank oder Zahlungsmarke des Händlers übermittelt werden. Der Prozess umfasst in der Regel die Unterzeichnung eines Selbstbewertungsformulars, das die Richtigkeit der Antworten und den Compliance-Status bestätigt.

Organisationen sollten sich bezüglich spezifischer Übermittlungsanweisungen an ihre erwerbende Bank oder Zahlungsmarke wenden, da die Prozesse unterschiedlich sein können.

So wählen Sie den richtigen SAQ aus

Um Ihnen bei der Auswahl des richtigen PCI-Selbstbewertungsfragebogens (SAQ) zu helfen, finden Sie hier eine Tabelle, die die SAQ-Typen, die anwendbaren Händlertypen, den Umfang der Kontodaten und die Angabe, ob die elektronische Speicherung von Kontodaten zulässig ist, zusammenfasst.

PCI DSS-Konformität mit Exabeam Fusion SIEM

Letztendlich geht es bei der PCI DSS-Konformität darum, Prüfern zu beweisen, was Sie tun – und Exabeam kann Ihnen dabei helfen. Während DLP-, Endpunkt-, Schwachstellen-Scanning-, Netzwerk- und Identitätsanbieter Ihnen Teile des Puzzles liefern, hilft Ihnen Exabeam Fusion SIEM alles zusammenzufügen, um ein vollständiges Bild des Angriffs zu erhalten. Es ergänzt Ereignisse und Warnungen mit Kontext und Risikobewertungen, um ein durchgängiges Bild der PCI DSS-Konformität zu erhalten.

Exabeam Fusion SIEM bietet Ihren Sicherheitsteams Berichte über entdeckte Schwachstellen in PCI-Systemen. Dieser Bericht analysiert detaillierte Daten von Schwachstellenscans, die von Firewalls, Routern, Switches und anderen Geräten generiert werden, die Schwachstellendaten generieren. Schwachstellenscans der Karteninhaberdatenumgebung decken potenzielle Schwachstellen in Netzwerken auf, die von böswilligen Personen erkannt und ausgenutzt werden könnten. Organisationen nutzen diesen Bericht, um bestimmte hochgradige und/oder kritische Schwachstellen in Karteninhabersystemen zu identifizieren, die behoben werden müssen.

Fusion SIEM analysiert auch Kreditkartendaten, die in IDS-, IPS- und DLP-Systemen übertragen oder gespeichert werden, um Einblick in potenziell unbefugte Übertragungen von Kreditkartendaten über das Netzwerk oder auf nicht autorisierte Wechseldatenträger zu erhalten. Kunden nutzen diesen Bericht, um die Quelle der Übertragung zu identifizieren, damit diese weiter untersucht und behoben werden kann. Die Karteninhaberdatenumgebung sollte mithilfe von IDS-, IPS- und DLP-basierten Technologien auf unbefugte ausgehende Übertragungen von Kreditkartendaten überwacht werden.

Von Anomalien bei Anmeldeinformationen und ungewöhnlichen Aktivitäten oder Bewegungen bis hin zum Zugriff auf oder der Übertragung von Kreditkartendaten bietet Exabeam einen klaren Überblick über den „Normalzustand“ aller Anmeldeinformationen, Datenbewegungen und Aktivitäten und trägt so dazu bei, Ihren SOC-Workflow und Ihre Reaktionen im Falle eines kompromittierten oder böswilligen Insiders zu optimieren und die laterale Bewegung von Malware oder Ransomware innerhalb Ihres Ökosystems zu erkennen.