Deutsch

English

Deutsch

English
PCI-Einstufung & SAQ

PCI-Einstufung & SAQ

Stufen Sie Ihr Unternehmen nach PCI DSS ein und informieren Sie sich zu Selbstauskünften

Wofür benötigt man eine PCI-Einstufung?

Mit der PCI-Einstufung wird festgelegt, welche Maßnahmen (Prüfmethoden) erforderlich sind, um die PCI-Compliance Ihres Unternehmens formal korrekt nachzuweisen. So erfahren Sie als Händler oder Service Provider, ob Sie die PCI-Zertifizierung eigenständig per Selbstauskunft (SAQ) oder nur mit Unterstützung eines externen Sicherheitsexperten (QSA) durchführen können.

Sind wir ein Händler oder ein Service Provider?

Das hängt von der Rolle Ihres Unternehmens im PCI-Kontext ab. Haben Sie einen Kartenakzeptanzvertrag mit einer Händlerbank (Acquirer) abgeschlossen und akzeptieren Kartenzahlungen, gelten Sie als Händler. Unterstützen Sie hingegen andere Unternehmen mit Kartenakzeptanz bei der Entgegennahme oder Verarbeitung von Kartendaten, zählen Sie als Service Provider.

Ich muss meinen SAQ erneuern. Kann ich die Daten aus dem Vorjahr übernehmen?

Ja, sofern Sie Ihren SAQ bereits nach PCI DSS v4.x abgeschlossen haben und sich die PCI-Version seither nicht geändert hat, ist eine Übernahme der Vorjahresdaten möglich.

Wie kann ich mir die Daten des SAQ aus dem Vorjahr anzeigen lassen?

Um einzusehen, welche Angaben Sie in Ihrer früheren Selbstauskunft (SAQ) gemacht haben, navigieren Sie auf der PCI Plattform in den Bereich „PCI Dokumente“. Dort können Sie die vollständige Attestation of Compliance (AoC) herunterladen oder — ab PCI v4.x — die im SAQ hinterlegten Daten direkt einsehen.

Müssen alle Fragen der Selbstauskunft (SAQ) beantwortet werden?

Ja, alle Fragen müssen beantwortet werden, da die Selbstauskunft sonst nicht abgeschlossen werden kann. Sie haben jedoch die Möglichkeit, die Beantwortung zu unterbrechen; Ihr Fortschritt wird auf der PCI Plattform automatisch gespeichert.

Mit welchen Themenbereichen habe ich in einem SAQ zu rechnen?

Der Fragebogen behandelt die 12 Hauptanforderungen des PCI Data Security Standards (PCI DSS). Da es unterschiedliche SAQ-Typen gibt, variieren die Anforderungen im Inhalt und Umfang. Welcher SAQ-Typ für Ihr Unternehmen relevant ist, hängt von Ihren Prozessen rund um Kreditkartenzahlungen ab. Ein Assistent auf der PCI Plattform unterstützt Sie bei der Ermittlung des passenden SAQ-Typs.

Wie erhalte ich Hilfe beim Ausfüllen des SAQs?

Eine kostenfreie Unterstützung durch das PCI Competence Center ist leider nicht möglich. Bei konkreten Fragestellungen stehen Ihnen jedoch unsere nach PCI DSS zertifizierten Sicherheitsexperten zur Verfügung. Informieren Sie sich gerne über unser Beratungsangebot.

Unser Reisebüro muss gegenüber der IATA die PCI DSS Compliance nachweisen.

In der Regel verlangt die IATA die Attestation of Compliance (AoC) Ihres Unternehmens als Nachweis. Diese erhalten Sie im PDF-Format, nachdem Sie die Selbstauskunft (SAQ) auf der PCI Plattform erfolgreich abgeschlossen haben.

So erhalten Sie das PDF:

  1. Melden Sie sich auf der PCI Plattform an.
  2. Wählen Sie im Bereich „PCI Nachweis“ die Option „Selbstauskunft (SAQ)“.
  3. Starten und schließen Sie dort die Selbstauskunft für Ihr Unternehmen ab. Haben Sie bereits einen SAQ in PCI v4.0 abgeschlossen, können die Daten aus dem Vorjahr in der Regel übernommen werden.
  4. Das PDF-Dokument steht Ihnen anschließend im Bereich „PCI Dokumente“ zum Download zur Verfügung.

Bitte beachten Sie: Die IATA verlangt zu keinem Zeitpunkt ein Zertifikat als Nachweis für die PCI Compliance. Das Zertifikat dient ausschließlich zu Marketingzwecken und ist kein offizielles Nachweisdokument für den PCI DSS.

Was versteht man unter einer Payment Page?

Eine Payment Page ist ein Webformular, in das der Karteninhaber seine vollständige Kartennummer (PAN) eingibt. Im E-Commerce handelt es sich dabei um die Eingabemaske, die während des Zahlvorgangs zur Eingabe der Kartendaten genutzt wird.

Wird die Zahlungsabwicklung an einen PCI-zertifizierten Zahlungsdienstleister ausgelagert, sind diese Seiten meist als Iframe, URL-Redirect oder directPOST in die Checkout-Seite eingebunden. Es ist jedoch auch möglich, dass das Zahlungsformular direkt im Checkout angezeigt und die Daten anschließend sicher per Server-to-Server-Kommunikation an den Acquirer übertragen werden.

Was versteht man unter Payment Page Skripten?

Der Begriff „Payment Page Skripte“ wird in PCI DSS v4.x im Rahmen der neuen Anforderung 6.4.3 eingeführt. Gemeint sind damit alle Skripte, die auf der Bezahlseite (Payment Page) eingebunden werden. Sie können vom Händler selbst, vom Payment Service Provider oder von Drittanbietern stammen.

Solche Skripte können unterschiedliche Funktionen erfüllen, zum Beispiel:

  • die Erzeugung eines Iframes zur Kartendateneingabe (z. B. im SAQ A)
  • Validierung und Prüfung der Kartendaten-Eingabe
  • Anzeige von Werbeinhalten, Statistiken oder Design-Anpassungen

Charakteristisch ist, dass diese Skripte extern geladen oder auf der Seite ausgeführt werden können. Dadurch haben sie direkten Einfluss auf die Sicherheit der Kartenzahlung und müssen daher besonders betrachtet und geschützt werden.

Welches Risiko stellt die Verwendung von Payment Page Skripten dar und wie kann man sich dagegen schützen?

Payment Page Skripte bergen das Risiko, dass sie von Angreifern ausgenutzt werden könnten, um bösartige Skripte einzuschleusen. Solche schädlichen Skripte könnten unbemerkt Kartendaten direkt aus dem Browser der Kunden auslesen und abgreifen.

Um dieses Risiko zu minimieren, sollten Sie:

  • Die Anzahl der eingesetzten Skripte auf das notwendige Minimum beschränken und nur Skripte verwenden, deren Funktion und Herkunft Sie nachvollziehen können.
  • Sicherstellen, dass keine unnötigen Skripte ohne vorherige Freigabe (z. B. durch die Geschäftsleitung) auf der Zahlungsseite eingebunden werden.
  • Ein zentrales Inventar und eine Überwachung der eingesetzten Skripte einführen.

Der PCI Council hat hierzu eine ausführliche Anleitung zur sicheren Verwendung von Skripten veröffentlicht. Diese finden Sie unter folgendem Link.

Wir haben ein Iframe eines PCI-zertifizierten Anbieters im Checkout eingebunden (SAQ A). Müssen wir die Skripte des Dienstleisters inventarisieren und überwachen?

Nein, das ist in der Regel nicht erforderlich. Ein PCI-zertifizierter Dienstleister stellt sicher, dass seine Skripte den Anforderungen entsprechen und regelmäßig überprüft werden.

Dennoch sollten Sie alle anderen eigenen oder von Drittanbietern genutzten Skripte, die auf Ihrer Checkout-Seite ausgeführt werden, sorgfältig prüfen und überwachen. Sind diese kompromittiert, könnten sie auch die Sicherheit des Iframes beeinflussen. Das gilt es konsequent zu verhindern.