news-pci-3.1_saq-a-ep.png

Keine Netzwerksegmentierung für SAQ A-EP

Tatsächlich hat sich mit dem Update auf PCI DSS 3.1 noch ein weiteres kleines, aber für viele Unternehmen entscheidendes Detail geändert.

Zwar nicht im, aber auf dem Weg zum SAQ A-EP ist ein bislang geltendes Voraussetzungskriterium entfallen: die Netzwerksegmentierung, die das E-Commerce System im Netzwerk isoliert.

Aufgrund dieser Voraussetzung waren E-Commerce Händler, die beispielsweise Warenwirtschafts- oder CRM-Systeme angebunden haben, dazu gezwungen, den PCI DSS Nachweis über den SAQ D zu erbringen, der wesentlich umfangreichere Anforderungen stellt.

Es dürfte also viele nun freuen, dass diese Anforderung mit PCI DSS 3.1 nicht mehr unter den Voraussetzungskriterien des SAQ A-EP zu finden ist.
Demnach gelten in der neuen Version 3.1 des SAQ A-EP nur noch die folgenden acht Voraussetzungskriterien:

1. Merchant accepts only e-commerce transactions;

2. All processing of cardholder data, with the exception of the payment page, is entirely outsourced to a PCI DSS validated third-party payment processor;

3. Merchant’s e-commerce website does not receive cardholder data but controls how consumers, or their cardholder data, are redirected to a PCI DSS validated third-party payment processor;

4. If merchant website is hosted by a third-party provider, the provider is validated to all applicable PCI DSS requirements (e.g., including PCI DSS Appendix A if the provider is a shared hosting provider);

5. Each element of the payment page(s) delivered to the consumer’s browser originates from either the merchant’s website or a PCI DSS compliant service provider(s);

6. Merchant does not electronically store, process, or transmit any cardholder data on merchant systems or premises, but relies entirely on a third party(s) to handle all these functions;

7. Merchant has confirmed that all third party(s) handling storage, processing, and/or transmission of cardholder data are PCI DSS compliant; and

8. Merchant retains only paper reports or receipts with cardholder data, and these documents are not received electronically.

Wir empfehlen allen Händlern, die aufgrund der fehlenden Netzwerksegmentierung nach PCI DSS v3.0 nicht den SAQ A-EP zum Nachweis der PCI DSS Compliance verwenden dürfen, ab sofort den SAQ A-EP v3.1 zu verwenden.

Sprechen Sie uns gerne an.

Related Posts