DePCI DSS-zelfbeoordeling(SAQ, Self-Assessment Questionnaire) is de methode waarmee de meeste handelaren hun jaarlijkse PCI DSS-naleving aantonen. Er zijn acht verschillende SAQ-typen, en het invullen van het verkeerde SAQ kan betekenen dat u ofwel te veel controles beheert of, erger, uw eigen nalevingssituatie verkeerd voorstelt. Deze gids legt uit welk SAQ op uw situatie van toepassing is en hoe u de inspanning kunt minimaliseren door bereikbeperking.
De verschillende SAQ-typen uitgelegd
PCI SSC heeft specifieke SAQ-typen ontwikkeld voor verschillende acceptatiescenario's van handelaren:
- SAQ A (22 vragen): handelaren die alle kaartgegevens volledig hebben uitbesteed aan een PCI DSS-gecertificeerde derde partij. Geen eigen CDE, geen elektronische opslag, verwerking of verzending van kaartgegevens.
- SAQ A-EP (ca. 140 vragen): handelaren die betaalpagina's hebben geïmplementeerd via iFrame of JavaScript-redirect, maar directe invloed hebben op de weergave van de pagina.
- SAQ B (40 vragen): handelaren die uitsluitend afdrukmachines of zelfstandige inbeltermials gebruiken zonder elektronische opslag van kaartgegevens.
- SAQ B-IP (ca. 80 vragen): handelaren met PTS-goedgekeurde POI-apparaten met een IP-verbinding naar de betalingsdienstaanbieder.
- SAQ C-VT (ca. 80 vragen): handelaren die virtuele terminals op pc's gebruiken en geen kaartgegevens elektronisch opslaan.
- SAQ C (ca. 160 vragen): handelaren met betalingsapplicatiesystemen die met internet verbonden zijn, maar geen kaartgegevens elektronisch opslaan.
- SAQ P2PE (ca. 35 vragen): handelaren die door PCI SSC gevalideerde P2PE-oplossingen gebruiken.
- SAQ D (ca. 350 vragen): alle overige handelaren die niet in de bovenstaande categorieën passen. Dit is de meest uitgebreide zelfbeoordeling.
Hoe u het juiste SAQ kiest
De keuze van het juiste SAQ hangt niet af van de grootte van het bedrijf, maar vanhoe kaartgegevens worden geaccepteerd en verwerkt. De doorslaggevende vragen zijn:
- Slaan, verwerken of verzenden mijn eigen systemen kaartgegevens?
- Hebben mijn servers directe toegang tot PANs (ook wanneer ze alleen worden doorgeleid)?
- Neem ik kaarten telefonisch aan en voer ik de gegevens handmatig in?
- Is er een directe verbinding tussen mijn interne systemen en betalingsverwerkingssystemen?
Wanneer alle antwoorden "nee" zijn en de betaalpagina volledig door een PCI DSS-gecertificeerde aanbieder wordt beheerd, is SAQ A het doel. Wanneer interne systemen kaartgegevens raken, moet u minstens SAQ C en mogelijk SAQ D invullen.
Van SAQ D naar SAQ A: de weg naar vereenvoudiging
Veel handelaren vullen momenteel SAQ C of SAQ D in, hoewel ze zich met een architectuurwijziging voor SAQ A zouden kunnen kwalificeren. De weg loopt via tokenisatie:
- Online checkout: in plaats van een aangepast betaalformulier op het eigen domein gebruikt u een hosted payment page of een veilige iFrame van de PCI-aanbieder. De PAN gaat rechtstreeks naar de kluis van de aanbieder, nooit naar de eigen servers.
- Telefoon-/MOTO-kanaal: in plaats van dat de medewerker het kaartnummer in een intern systeem invoert, ontvangt de klant een veilige betaallink per sms of e-mail en voert hij de kaart zelf in. Geen PAN-contact in het eigen systeem.
- Backendsystemen: CRM, ERP en boekhouding werken uitsluitend met tokens in plaats van met PANs. Geen kaartgegevens in interne databases.
Na deze transformatie kan de handelaar eerlijk "nee" antwoorden op alle vragen die het eigen contact met kaartgegevens betreffen. Hij kwalificeert zich voor SAQ A: 22 vragen in plaats van 350.
Wat PCI DSS v4 verandert aan de zelfbeoordeling
PCI DSS v4 heeft enkele wijzigingen in de SAQ's geïntroduceerd die voor 2025 verplicht zijn:
- SAQ A: nieuwe vereisten voor beveiliging van betaalpagina's(6.4.3, 11.6.1): inventarisatie en autorisatie van alle scripts op de betaalpagina, detectie van scriptwijzigingen.
- Alle SAQ's: strengere vereisten voor toegangscontrole en MFA: multifactorauthenticatie voor alle niet-console-gebaseerde beheertoegangen.
- Alle SAQ's: vereiste van een formele risicobeoordelingmet een gedocumenteerde methodiek.
- SAQ D: nieuwe vereisten voor DMARC en e-mailauthenticatieom phishingaanvallen te voorkomen.
Veelgestelde vragen
Moet een belastingadviseur of boekhouder PCI DSS-conform zijn?
Wanneer uw belastingadviseur of boekhouder toegang heeft tot uw financiële gegevens, maar geen kaartgegevens verwerkt, is hij niet rechtstreeks PCI DSS-plichtig. Wanneer uw boekhoudsysteem echter verbonden is met systemen die kaartgegevens bevatten, kunnen die verbindingen uw PCI DSS-bereik compliceren. De veilige oplossing is ervoor te zorgen dat boekhoud- en financiële systemen nooit PANs bevatten, alleen tokens.
Kan ik het SAQ zelf invullen of heb ik een QSA nodig?
Het SAQ kan onafhankelijk door de handelaar worden ingevuld zonder betrokkenheid van een QSA. PCI SSC biedt sjablonen gratis aan op zijn website, met gedetailleerde invulinstructies. Voor complexe architecturen of twijfels over de correcte SAQ-classificatie kan een consultant of ondersteuning van een betalingsdienstaanbieder het risico op fouten verminderen. Een onjuist ingevuld SAQ kan door de acquirer tijdens de beoordeling ongeldig worden verklaard.
Van SAQ D naar SAQ A via tokenisatie: de snelste weg om de jaarlijkse PCI DSS-zelfbeoordeling te vereenvoudigen.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op