1. F: Was ist PCI DSS Compliance?
Beginnen wir damit, wofür PCI DSS steht. PCI DSS steht für Payment Card Industry Data Security Standard. Es ist ein globaler Standard, der von den großen Kartensystemen übernommen wurde und technische sowie operative Anforderungen zum Schutz von Karteninhaberdaten definiert.
2. F: Warum ist es wichtig?
Trotz der Tatsache, dass der Schutz sensibler Informationen wie Kreditkarten- und Karteninhaberdaten für jede Partei, die Kreditkartenzahlungen akzeptiert, von entscheidender Bedeutung ist, ist die Validierung der PCI DSS Compliance obligatorisch.
3. F: Wie können wir die PCI DSS Compliance validieren?
Alles, was Sie tun müssen, ist zu überprüfen und sicherzustellen, dass Sie bestimmte Schutzmaßnahmen eingerichtet haben, indem Sie die Schritte wie beschrieben befolgen
4. F: Was sind Schutzmaßnahmen?
Schutzmaßnahmen sind Maßnahmen und Kontrollen, wie Verfahren und technische Konfigurationen, die zum Schutz von Informationen implementiert werden. Eine bekannte Schutzmaßnahme ist beispielsweise der Passwortschutz.
5. F: Wer ist dafür verantwortlich, die Schutzmaßnahmen einzurichten?
Kurz gesagt: Es ist eine gemeinsame Verantwortung.
PCI DSS ist eine kontinuierliche Sicherheitsübung. Daher müssen alle Parteien stets die geltenden Anforderungen einhalten, um compliant zu bleiben.
Da wir Partner sind und Convious und Ihr Payment Service Provider einen Großteil Ihrer Infrastruktur bereitstellen, liegt der Nachweis der erforderlichen Schutzmaßnahmen (oder Anforderungen) und deren Überprüfung bei diesen Dienstleistern, während auch Sie eine Verantwortung tragen, Ihren Teil beizutragen. Obwohl die PCI DSS Validierung jährlich automatisch erneuert wird, liegt es in Ihrer Verantwortung sicherzustellen, dass die Schutzmaßnahmen vorhanden sind. Siehe F6 für Details zu den Schutzmaßnahmen/Anforderungen
6. F: Wo können wir die Schutzmaßnahmen/Anforderungen einsehen, die wir überprüfen müssen?
Gehen Sie zu Einstellungen > Konto > Integrationen
Durch Klicken auf Onboarding sehen Sie die Onboarding-Seite des PSP. Unten sehen Sie den PCI DSS Fragebogen.
Wenn Sie auf Kopie herunterladen klicken, können Sie die neueste Version des PCI DSS Fragebogens einsehen, der automatisch für Sie unterzeichnet wurde.
7. F: Wer kann den PCI DSS Fragebogen unterzeichnen und wie?
Gute Nachrichten: Der PCI DSS Fragebogen wird automatisch unterzeichnet und jährlich erneuert.
Dieser Fragebogen wird auch SAQ-A genannt. Dies ist das Dokument, das zur Validierung Ihrer Compliance erforderlich ist. Der Fragebogen enthält alle Anforderungen und Verantwortlichkeiten, die für die beteiligten Parteien gelten.
Nochmals, es ist wichtig zu betonen, dass die Antworten auf diese Fragen Standardantworten sind, die vom PCI Security Standards Council definiert wurden und erforderlich sind, um compliant zu sein. Daher können sie nicht angepasst werden.
Bitte beachten Sie: Ab Oktober 2024 ist die neueste Version des Fragebogens SAQ-A v4.0.1.
8. F: Woher wissen wir, dass Adyen die Schutzmaßnahmen eingerichtet hat?
„Adyen erfüllt die höchsten Sicherheits- und Stabilitätsstandards. Wir sind ein PCI DSS Level 1 Service Provider, dessen PCI DSS Compliance jährlich von einem unabhängigen Qualified Security Assessor (QSA) bewertet wird." - Quelle
Convious besitzt eine Kopie von Adyens neuester PCI DSS Attestation of Compliance (AoC).
9. F: Woher wissen wir, dass Convious die Schutzmaßnahmen eingerichtet hat, die in meinem unterzeichneten Fragebogen enthalten sind?
Wie bereits erwähnt, sind die validierten Anforderungen oft eine gemeinsame Verantwortung. Daher finden Sie unten die Ergebnisse unserer Bewertung zu den Fragen, die mit Ihrer Unterschrift validiert wurden.
Eine freundliche Erinnerung: Eine gemeinsame Verantwortung bedeutet, dass Ihre Antwort auf die gestellten Fragen ebenfalls ja lauten sollte.
Frage | Antwort von Convious |
Bestätigen Sie, dass jeder Benutzer in Ihrem Unternehmen über eindeutige Anmeldedaten für die Systeme in Ihrer Karteninhaberdatenumgebung verfügt und es keine gemeinsamen, Gruppen- oder generischen Konten gibt? | Ja |
Bestätigen Sie, dass jeder Benutzer in Ihrem Unternehmen über ein sicheres Passwort von mindestens 7 Zeichen Länge und eine weitere Methode der sicheren Authentifizierung verfügt, wie z. B. ein Token-Gerät, eine Smartcard oder biometrische Kontrollen? | Ja |
Ändert oder beendet Ihr Unternehmen den Zugriff von Benutzern sofort, nachdem sie ihre Rolle wechseln oder das Unternehmen verlassen? | Ja |
Stellt Ihr Unternehmen sicher, dass Passwörter sofort nach der ersten Verwendung und beim Zurücksetzen auf einen eindeutigen Wert gesetzt werden, dass keines der neuen Passwörter mit den vorherigen 4 Passwörtern identisch ist und mindestens alle 90 Tage geändert wird? | Ja |
Bestätigen Sie, dass Ihr Unternehmen niemals physisch oder elektronisch Karteninhaberdaten in Ihrer Umgebung in irgendeiner Form speichert? | Ja |
Bestätigen Sie, dass Ihr Unternehmen niemals sensible Authentifizierungsdaten auf einem Ihrer Systeme speichert? | Ja |
Führt Ihr Unternehmen eine Sorgfaltsprüfung durch, um neue Dienstleister zu bewerten, sodass Sie die Verarbeitung von Karteninhaberdaten nur an Dienstleister auslagern, die PCI DSS-konform sind? | Ja |
Führt Ihr Unternehmen für jeden von Ihnen genutzten Dienstleister eine Beschreibung der bereitgestellten Dienste und eine schriftliche Vereinbarung über die Verantwortlichkeiten jeder Partei hinsichtlich der Sicherheit von Karteninhaberdaten? | Ja |
Überprüft Ihr Unternehmen jährlich den Compliance-Status aller Dienstleister, mit denen Sie Karteninhaberdaten teilen? | Ja |
Unterhält Ihr Unternehmen einen Incident-Response-Plan für den Fall eines Sicherheitsvorfalls, einschließlich Eindämmung und Schadensbegrenzung für verschiedene Arten von Vorfällen, Business-Continuity-Verfahren und dass Sie unverzüglich Ihren Zahlungspartner, andere beteiligte Dienstleister und gegebenenfalls die zuständigen Behörden kontaktieren? | Ja |
Identifiziert und behebt Ihr Unternehmen Sicherheitslücken gemäß einer Risikobewertung unter Verwendung branchenweit anerkannter Quellen und wendet entsprechend Sicherheitspatches/-updates an? | Ja |
Bestätigen Sie, dass Ihr Unternehmen externe Schwachstellenscans durch einen vom PCI SSC zugelassenen Approved Scanning Vendor (ASV) mindestens einmal alle 3 Monate und nach jeder wesentlichen Änderung durchführt, z. B. wenn eine kritische Schwachstelle behoben wurde? | Ja |
Darüber hinaus können Sie, wie in F8 erläutert, innerhalb des unterzeichneten SAQ-A Anforderungen sehen, die über Ihre Verantwortlichkeiten hinausgehen. Daher haben Sie sie nicht in den Fragen gesehen, die Sie validieren mussten, sondern wurden automatisch für Sie ausgefüllt.
10. F: Wie oft muss die Validierung erneuert werden?
Die PCI DSS Compliance-Validierung muss jährlich erneuert werden. Glücklicherweise hat Ihr PSP den Prozess der (Neu-)Validierung Ihrer PCI DSS Compliance automatisiert.
11. F: Vor-Ort-Zahlungen & PCI DSS Compliance
Für Vor-Ort-Zahlungen muss ein anderer Fragebogen ausgefüllt werden: Der SAQ B-IP. Seien Sie versichert, dass bei Verwendung von PIN-Terminals von Cnvious der SAQ B-IP im automatisierten Erneuerungsworkflow enthalten ist. Was die Dokumentation für die kontinuierliche PCI DSS Compliance betrifft, sind von Ihrer Seite keine weiteren Maßnahmen erforderlich. PCI DSS ist jedoch eine kontinuierliche Sicherheitsübung. Daher müssen Partner stets die geltenden Anforderungen einhalten, um compliant zu bleiben.
*Bitte beachten Sie, dass die bereitgestellten Informationen in keiner Form eine Rechtsberatung darstellen. Die Informationen sollen unseren Partnern helfen, die Grundlagen des Themas und die Convious-Tools zu verstehen, damit Partner ihr eigenes Compliance-Niveau bestimmen und umsetzen können. Obwohl wir unser Bestes tun, um hilfreiche Informationen als Ausgangspunkt bereitzustellen, sind bestimmte Konzepte möglicherweise nicht in allen Ländern anwendbar. Daher kann nichts eine regionale Rechtsberatung ersetzen. Convious übernimmt keine Haftung für die Richtigkeit und Vollständigkeit der Informationen und die als Reaktion darauf ergriffenen bestätigenden Maßnahmen.
