PCI DSS SAQ

Geschrieben von Björn Harste am Mittwoch, 11. Mai 2016

Keine Ahnung, was ich da eben bei dem zwingend auszufüllenden Onlinefragebogen bei meinem Kreditkartenabrechner angekreuzt habe, bei 95% der Fragen habe ich jedenfalls kein Wort verstanden. Aber das Ergebnis lautet:

Abschluss SAQ D (v3.1)
PCI-DSS-Validierung

Auf der Grundlage der Ergebnisse des SAQ D vom 11.05.2016 stellen die angegebenen Unterzeichner den folgenden Konformitätsstatus für SPAR-Markt Harste fest:
Compliant:
Alle Abschnitte des PCI DSS SAQ sind vollständig und alle Fragen wurden mit "Ja" beantwortet. Daraus ergibt sich die Gesamtbewertung COMPLIANT.
SPAR-Markt Harste hat somit vollständig Konformität mit dem PCI DSS gezeigt.

Ich verstehe ungefährt nichts davon und schon gar nicht die ganzen Abkürzungen (Was zum Henker ist ein "Approved Scanning Vendor (ASV)"?!) und frage mich ernsthaft, wie andere Einzelhändler das machen.

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

0815 am Mittwoch, 11. Mai 2016:

Öhhmmm, warum beantwortest Du Fragen, die Du nicht verstehst? Als Azubis hat man uns immer gesagt: "Haben Sie keinen Mund, um zu fragen?" Könnte ja ggf. was sicherheitsrelevantes sein ...

Flox am Mittwoch, 11. Mai 2016:

Vielleicht hilft ja der Link hier http://www.heise.de/security/meldung/PCI-DSS-Firmen-muessen-Kreditkartendaten-besser-schuetzen-3194379.html

Dirk am Mittwoch, 11. Mai 2016:

ein ASV scheint ein Dienstleister zu sein, der die IT Versucht von außen anzugreifen, um Schwachstellen des Kreditsystems aufzuzeigen. So ne Art Schwachstellentest:
https://pci.usd.de/index.php?main_page=content&page=service_scan

Der Saq scheint nur eine Art Selbstprüfung zu sein, der die eigene Unternehmenssicherheit einschätzen hilft. Wenn nicht alles Ja ist, fällt man durch. Ergo wahrscheinlich so eine Art Haftungsausschluss (Teilnehmer hat ja gesagt dass)?
https://www.hackerguardian.com/pci-saq.html

Jemand am Mittwoch, 11. Mai 2016:

Du darfst nun Kreditkartendaten verarbeiten. Das bedeutet, du hast kein WLAN und auch sonst ist bei dir die gesamte IT so sicher, wie in einer Bank. Glückwunsch

Kreditkartenbetrüger am Mittwoch, 11. Mai 2016:

Kenne ich, diesen knapp 30-seitigen Fragebogen, aus dem wohl so niemand schlau werden kann, zumal er jetzt auch nur noch in Englisch präsentiert wird.

Ist aber letztlich kein Problem, auch die Zertifizierer, die das Dings letztlich verschicken, wissen genau um dieses Dilemma und helfen, wenn man da etwas ratlos anruft, gerne und freundlich weiter, indem sie einem einfach sagen, wo ein Kreuzchen zu machen ist. Kuh vom Eis, Drops gelutscht.

Cosmo am Mittwoch, 11. Mai 2016:

Selbsteinschätzungsabschlussfragebogen D

Nachweis über Einhaltung der Datensicherheitsstandards der Zahlungskartenindustrie (PCI-DSS)

Status: Willig und gefügig

Warum muss man so ein Bullshitbingo veranstalten? Warum stolpert da keiner drüber, wenn man solche Texte schreibt?

Die Überprüfung darf übrigens nur von einem Approved Scanning Vendor, also einem Zertifizierten Anbieter durchgeführt werden, wenn ich Tante Google richtig verstanden habe.

Wenn ein Fragebodegn aber alles ist, dann frage ich mich, was zur Hölle soll das bringen

Moin am Mittwoch, 11. Mai 2016:

Das geht wohl nicht nur dir so, dass nicht wahrheitsgemäß geantwortet wurde.

"Gerade Merchants, die selbst Zugriff auf die PAN haben möchten und / oder ihre Zahlungsabwicklung nicht komplett outsourcen wollen, stehen prinzipiell vor der Wahl:

Die technischen, organisatorischen, personellen und damit auch finanziellen Herausforderungen des PCI DSS annehmen oder ein (in der Tat erhebliches) Risiko akzeptieren und den SAQ C-VT, C oder D nicht wahrheitsgemäß ausfüllen."
https://security.sauer.ninja/tag/saq/

Lass da lieber einen IT-Fachmann ran...

Richard am Mittwoch, 11. Mai 2016:

Wir haben das als Online-Händler auch mal gemacht. Das dauert ewig und da versteht man nichts - selbst als Programmierer, wenn man die ganze Kacke vorher implementiert hat

Rumpel am Donnerstag, 12. Mai 2016:

Die Dinger gibt es auch automatisiert.

Sind aber wie auch die "manuellen" in meinen Augen absolut nichts wert.

Lars D. am Mittwoch, 11. Mai 2016:

Aehm, was zur Hölle?
Zitat:
SAQ D for Merchants: All merchants not included in descriptions for the above SAQ
types.

( https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf )

Das ist meiner Meinung nach die höchste Stufe, die möglich ist, Du verarbeitest Kredit-/Debitkartendaten selbständig, speicherst sie selber?

Achja, approved Scanning Vendor: Das ist ein Dienstleistungsanbieter, der Deine Netzwerksicherheit überprüft. Erster Eindruck: Mußt Du vierteljährlich machen.
(bitte nagel mich nicht auf den Zeitrahmen fest...)

Christian_nicht_registriert am Mittwoch, 11. Mai 2016:

PCI DSS ("Payment Card Industry Data Security Standard") ist ein Standard der technische und organisatorische Vorgaben macht. Insbesondere im Umgang mit Kreditkartendaten.
Da stehen dann Anforderungen drin wie: "Kreditkartennummern dürfen nur verschlüsselt gespeichert werden" etc. und nicht in Logdateien des Webservers, etc. auftauchen.
Das du aktuelle Sicherheitsmassnahmen die dem Stand der Technik entsprechen einsetzt (Virenscanner, Erkennung von Loginversuchen am System, Passworte müssen geändert werden, alte Passwörter dürfen nicht wieder verwendet werden, Passwortstärke muss geprüft werden, etc.

Ein Approved Scanning Vendor ist ein zugelassener, sprich zertifizierter Anbieter, der deine Systeme und teilw. auch Prozesse, nach Sicherheitslücken scannt.
Siehe:
https://de.pcisecuritystandards.org/assessors_and_solutions/approved_scanning_vendors

Siehe auch:
https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

Christian_nicht_registriert am Mittwoch, 11. Mai 2016:

Und was du da ausgefüllt hast, und welche Arten von SAQs es gibt, findest du hier:
https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf

Bzw. da:
https://www.mwrinfosecurity.com/our-thinking/pci-compliance-which-saq-is-right-for-me/

Nicht der Andere am Donnerstag, 12. Mai 2016:

Der (H)ersteller des Fragebogens hat den zur problemlosen, rückfragelosen Beantwortung wahrscheinlich so gestaltet: Am Anfang ein paar Fragen, die noch jeder versteht und alle werden in aller Regel beantwortet. Wenn die Fragen dann den Bereich der allgemeingebildeten Trivialität verlassen, lautet die korrekte Antwort weiterhin "Ja". Daran hat sich der unwissende Beantworter ja schon zu Beginn gewöhnt und macht einfach weiter damit.

Alex am Dienstag, 24. Mai 2016:

Der Christian hat es ganz richtig gesagt.

Es geht um Vorgaben der Kreditkartenindustrie (vorwiegend VISA, Mastercard) zur Abrechnung von Kreditkarten.

Ich vermute jedoch sehr sehr stark (vorallem weil du davon nichts gehört hast), dass du keinerlei Kreditkartendaten selbst verarbeitest, sondern dies an Dienstleister ausgelagert hast (die Firmen die die Kartenlesegeräte vermieten/verkaufen bzw. im Online-Shop die Payment Provider). Diese Dienstleister müssen PCI-DSS konform sein und auch eine Zertifizierung vorweisen können.

Für dich selber gilt es also nur anzugeben das du mit einem PCI-DSS zertifizierten Anbieter namens XYZ zusammenarbeitest und fertig. Du selber musst damit weder zertifiziert noch konform sein.

Es gibt in diesem Kontext deshalb soviele englische Wörter, da die PCI-DSS Unterlagen nur in Englisch existieren und sämtliche Formulare um sich selbst zertifizieren zu lassen auch nur in englisch ausgefüllt werden können.

Habe das selbst schon ein paarmal mitgemacht, ein Riesenaufwand

Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.