PCI DSS SAQ
Keine Ahnung, was ich da eben bei dem zwingend auszufüllenden Onlinefragebogen bei meinem Kreditkartenabrechner angekreuzt habe, bei 95% der Fragen habe ich jedenfalls kein Wort verstanden. Aber das Ergebnis lautet:
Abschluss SAQ D (v3.1)Ich verstehe ungefährt nichts davon und schon gar nicht die ganzen Abkürzungen (Was zum Henker ist ein "Approved Scanning Vendor (ASV)"?!) und frage mich ernsthaft, wie andere Einzelhändler das machen.
PCI-DSS-Validierung
Auf der Grundlage der Ergebnisse des SAQ D vom 11.05.2016 stellen die angegebenen Unterzeichner den folgenden Konformitätsstatus für SPAR-Markt Harste fest:
Compliant:
Alle Abschnitte des PCI DSS SAQ sind vollständig und alle Fragen wurden mit "Ja" beantwortet. Daraus ergibt sich die Gesamtbewertung COMPLIANT.
SPAR-Markt Harste hat somit vollständig Konformität mit dem PCI DSS gezeigt.
Trackbacks
Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
0815 am :
Flox am :
Dirk am :
https://pci.usd.de/index.php?main_page=content&page=service_scan
Der Saq scheint nur eine Art Selbstprüfung zu sein, der die eigene Unternehmenssicherheit einschätzen hilft. Wenn nicht alles Ja ist, fällt man durch. Ergo wahrscheinlich so eine Art Haftungsausschluss (Teilnehmer hat ja gesagt dass)?
https://www.hackerguardian.com/pci-saq.html
Jemand am :
Kreditkartenbetrüger am :
Ist aber letztlich kein Problem, auch die Zertifizierer, die das Dings letztlich verschicken, wissen genau um dieses Dilemma und helfen, wenn man da etwas ratlos anruft, gerne und freundlich weiter, indem sie einem einfach sagen, wo ein Kreuzchen zu machen ist. Kuh vom Eis, Drops gelutscht.
Cosmo am :
Nachweis über Einhaltung der Datensicherheitsstandards der Zahlungskartenindustrie (PCI-DSS)
Status: Willig und gefügig
Warum muss man so ein Bullshitbingo veranstalten? Warum stolpert da keiner drüber, wenn man solche Texte schreibt?
Die Überprüfung darf übrigens nur von einem Approved Scanning Vendor, also einem Zertifizierten Anbieter durchgeführt werden, wenn ich Tante Google richtig verstanden habe.
Wenn ein Fragebodegn aber alles ist, dann frage ich mich, was zur Hölle soll das bringen
Moin am :
"Gerade Merchants, die selbst Zugriff auf die PAN haben möchten und / oder ihre Zahlungsabwicklung nicht komplett outsourcen wollen, stehen prinzipiell vor der Wahl:
Die technischen, organisatorischen, personellen und damit auch finanziellen Herausforderungen des PCI DSS annehmen oder ein (in der Tat erhebliches) Risiko akzeptieren und den SAQ C-VT, C oder D nicht wahrheitsgemäß ausfüllen."
https://security.sauer.ninja/tag/saq/
Lass da lieber einen IT-Fachmann ran...
Richard am :
Rumpel am :
Sind aber wie auch die "manuellen" in meinen Augen absolut nichts wert.
Lars D. am :
Zitat:
SAQ D for Merchants: All merchants not included in descriptions for the above SAQ
types.
( https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf )
Das ist meiner Meinung nach die höchste Stufe, die möglich ist, Du verarbeitest Kredit-/Debitkartendaten selbständig, speicherst sie selber?
Lars D. am :
Zitat:
SAQ D for Merchants: All merchants not included in descriptions for the above SAQ
types.
( https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf )
Das ist meiner Meinung nach die höchste Stufe, die möglich ist, Du verarbeitest Kredit-/Debitkartendaten selbständig, speicherst sie selber?
Achja, approved Scanning Vendor: Das ist ein Dienstleistungsanbieter, der Deine Netzwerksicherheit überprüft. Erster Eindruck: Mußt Du vierteljährlich machen.
(bitte nagel mich nicht auf den Zeitrahmen fest...)
Christian_nicht_registriert am :
Da stehen dann Anforderungen drin wie: "Kreditkartennummern dürfen nur verschlüsselt gespeichert werden" etc. und nicht in Logdateien des Webservers, etc. auftauchen.
Das du aktuelle Sicherheitsmassnahmen die dem Stand der Technik entsprechen einsetzt (Virenscanner, Erkennung von Loginversuchen am System, Passworte müssen geändert werden, alte Passwörter dürfen nicht wieder verwendet werden, Passwortstärke muss geprüft werden, etc.
Ein Approved Scanning Vendor ist ein zugelassener, sprich zertifizierter Anbieter, der deine Systeme und teilw. auch Prozesse, nach Sicherheitslücken scannt.
Siehe:
https://de.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors
Siehe auch:
https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
Christian_nicht_registriert am :
https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf
Bzw. da:
https://www.mwrinfosecurity.com/our-thinking/pci-compliance-which-saq-is-right-for-me/
Nicht der Andere am :
Alex am :
Es geht um Vorgaben der Kreditkartenindustrie (vorwiegend VISA, Mastercard) zur Abrechnung von Kreditkarten.
Ich vermute jedoch sehr sehr stark (vorallem weil du davon nichts gehört hast), dass du keinerlei Kreditkartendaten selbst verarbeitest, sondern dies an Dienstleister ausgelagert hast (die Firmen die die Kartenlesegeräte vermieten/verkaufen bzw. im Online-Shop die Payment Provider). Diese Dienstleister müssen PCI-DSS konform sein und auch eine Zertifizierung vorweisen können.
Für dich selber gilt es also nur anzugeben das du mit einem PCI-DSS zertifizierten Anbieter namens XYZ zusammenarbeitest und fertig. Du selber musst damit weder zertifiziert noch konform sein.
Es gibt in diesem Kontext deshalb soviele englische Wörter, da die PCI-DSS Unterlagen nur in Englisch existieren und sämtliche Formulare um sich selbst zertifizieren zu lassen auch nur in englisch ausgefüllt werden können.
Habe das selbst schon ein paarmal mitgemacht, ein Riesenaufwand .