Unternehmen, die mit Karteninhaberdaten arbeiten, kennen in der Regel das Konzept der Selbstbeurteilungsfragebögen.
Ein Selbstbeurteilungsfragebogen ist ein formeller Bericht, mit dem ein Unternehmen nachweist, dass es die Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS) erfüllt. Das Ziel besteht darin, zu belegen, dass ein Händler oder Dienstleister angemessene Sicherheitsmaßnahmen zum Schutz sensibler Zahlungsdaten umsetzt.
Wie ein solcher Fragebogen auszufüllen ist, hängt stark von den spezifischen Gegebenheiten des jeweiligen Unternehmens ab. Noch bevor die Beurteilung beginnt, muss einer von neun verschiedenen SBF-Typen ausgewählt werden, der zur Zahlungsabwicklung und Karteninhaberumgebung passt.
Im Folgenden geben wir Ihnen einen Überblick über alle SBF-Typen, erklären deren Inhalte und unterstützen Sie dabei, den zu Ihrem Unternehmen passenden Fragebogen auszuwählen.
Was ist ein PCI-DSS-Selbstbeurteilungsfragebogen?
Mithilfe des PCI-DSS-Selbstbeurteilungsfragebogens können Händler und Dienstleister ihre Sicherheitsmaßnahmen im Umgang mit Karteninhaberdaten überprüfen und ihre Compliance dokumentieren.
Am Anfang jedes Selbstbeurteilungsfragebogens befindet sich ein Abschnitt mit wichtigen Hinweisen zur Vorbereitung. Dort wird erläutert, für welche Karteninhaberumgebung und Art der Zahlungsabwicklung der jeweilige Fragebogen geeignet ist. Im Anschluss folgen strukturierte Ja-/Nein-Fragen zu sämtlichen Aspekten der Zahlungsabwicklung und der Sicherheitsmaßnahmen des Unternehmens, darunter Netzwerksicherheit, Systemkonfiguration und Zugriffskontrollen.
Ein wesentlicher Bestandteil des Fragebogens ist die sogenannte „Attestation of Compliance“ (AOC). Dabei handelt es sich um eine formelle Bestätigung, dass das Unternehmen die Anforderungen des PCI DSS erfüllt.
Ein vollständiger Selbstbeurteilungsfragebogen umfasst drei Abschnitte:
- 1. Abschnitt (Teil 1 und 2 der Konformitätsbescheinigung) – Informationen zur Beurteilung und Executive Summary
- 2. Abschnitt – PCI-DSS-Selbstbeurteilungsfragebogen
- 3. Abschnitt (Teil 3 und 4 der Konformitätsbescheinigung) – Validierungs- und Bescheinigungsdetails sowie Aktionsplan für den Status „Nicht konform“ (falls zutreffend)
Selbstbeurteilungsfragebögen stehen sowohl in einem Online-Format als auch als herunterladbare PDF-Dateien zur Verfügung.
Wer einen Selbstbeurteilungsfragebogen ausfüllen muss
Nicht alle Unternehmen können einen solchen Fragebogen verwenden. Diese Möglichkeit steht nur Händlern mit weniger als sechs Millionen und Dienstleistern mit weniger als 300.000 Zahlungskartentransaktionen pro Jahr offen.
Liegt das Transaktionsvolumen darüber, ist ein „Report on Compliance“ (ROC) erforderlich.
Nähere Informationen zu den verschiedenen Händler- und Dienstleisterstufen finden Sie in den PCI-DSS-Richtlinien.
Unternehmen sollten sich zudem mit ihrer Handelsbank oder der jeweiligen Zahlungsmarke abstimmen, um zu klären, ob sie zur Nutzung eines SBF berechtigt sind und welcher Fragebogentyp für ihre Karteninhaberumgebung geeignet ist.
Welcher Selbstbeurteilungsfragebogen der richtige für Ihr Unternehmen ist
Insgesamt stehen neun verschiedene SBF-Typen zur Verfügung: Acht sind für Händler vorgesehen, einer speziell für Dienstleister.* Welcher Fragebogen für Ihre Organisation infrage kommt, hängt auch davon ab, wie Sie Kartenzahlungen abwickeln.
Die folgenden Erläuterungen helfen Ihnen dabei, den zu Ihrem Unternehmen passenden SBF-Typ zu ermitteln.
Selbstbeurteilungsfragebogen A
Dieser Fragebogen richtet sich an Händler, die keine Kartenzahlungen im direkten Kundenkontakt abwickeln (beispielsweise im E-Commerce oder bei telefonischen bzw. schriftlichen Bestellungen) und die gesamte Verarbeitung von Karteninhaberdaten an PCI-DSS-konforme Dienstleister auslagern. Auf den eigenen Systemen oder in der eigenen Infrastruktur erfolgt keinerlei elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten. Für den stationären Handel ist dieser Fragebogen nicht vorgesehen.
Selbstbeurteilungsfragebogen A-EP
Dieser Fragebogen richtet sich an E-Commerce-Händler, die zwar keine Karteninhaberdaten direkt über ihre Website erfassen, bei denen jedoch der Webauftritt die Sicherheit der Zahlungsabwicklung beeinflussen kann, beispielsweise durch eingebettete Zahlungsformulare oder Weiterleitungen. Die gesamte Zahlungsabwicklung erfolgt über PCI-DSS-konforme Drittanbieter. Auf den eigenen Systemen werden keine Karteninhaberdaten gespeichert, verarbeitet oder übertragen. Dieser Selbstbeurteilungsfragebogen ist ausschließlich für E-Commerce-Kanäle vorgesehen.
Selbstbeurteilungsfragebogen B
Dieser Fragebogen ist für Händler vorgesehen, die ausschließlich Prägemaschinen und/oder eigenständige Dial-out-Terminals ohne elektronische Speicherung von Karteninhaberdaten verwenden. Für E-Commerce-Kanäle ist dieser Fragebogen nicht vorgesehen.
Selbstbeurteilungsfragebogen B-IP
Dieser Fragebogen richtet sich an Händler, die ausschließlich eigenständige, gemäß PTS (PIN Transaction Security) zertifizierte Zahlungsterminals einsetzen und über eine IP-Verbindung mit dem Zahlungsdienstleister kommunizieren. Voraussetzung ist, dass keine elektronische Speicherung von Karteninhaberdaten stattfindet. Für den E-Commerce-Bereich ist dieser Fragebogen nicht vorgesehen.
Selbstbeurteilungsfragebogen C-VT
Dieser Fragebogen ist für Händler vorgesehen, die Kartenzahlungen manuell über ein webbasiertes, virtuelles Terminal erfassen, indem sie die Kartendaten beispielsweise per Tastatur eingeben. Die Lösung wird vollständig von einem PCI-DSS-konformen Drittanbieter betrieben. Voraussetzung ist, dass keine elektronische Speicherung von Karteninhaberdaten stattfindet. Für den E-Commerce ist dieser Fragebogen nicht vorgesehen.
Selbstbeurteilungsfragebogen C
Dieser Fragebogen ist für Händler vorgesehen, die internetfähige Zahlungssysteme einsetzen, bei denen jedoch keine Karteninhaberdaten elektronisch gespeichert werden. Für den E-Commerce ist dieser Fragebogen nicht vorgesehen.
Selbstbeurteilungsfragebogen P2PE-HW
Dieser Fragebogen richtet sich an Händler, die ausschließlich Hardware-Zahlungsterminals verwenden, die Teil einer validierten und auf der PCI-SSC-Liste geführten P2PE-Lösung (Point-to-Point Encryption) sind und zentral über diese verwaltet werden. Voraussetzung ist, dass keine elektronische Speicherung von Karteninhaberdaten stattfindet. Dieser Fragebogen ist nicht für E-Commerce-Händler vorgesehen.
Selbstbeurteilungsfragebogen D
Fragebogen D für Händler: Dieser Fragebogen richtet sich an alle Händler, auf die keiner der oben beschriebenen SBF-Typen zutrifft.
Fragebogen D für Dienstleister: Dieser Fragebogen ist für Dienstleister vorgesehen, die von einer Zahlungsmarke als berechtigt eingestuft wurden, einen Selbstbeurteilungsfragebogen einzureichen.
