›› Hackersafe › PCI › FAQ

Als u een webshop heeft en u accepteert een of meerdere creditcards, dan is de kans groot dat u door de transactieverwerkende partij (acquirer) bent geïnformeerd over de verplichtingen rondom de zogenaamde Payment Card Industry Data Security Standard (PCI/DSS).

In de communicatie wordt over het hoe en waarom van PCI/DSS meer informatie gegeven.

Duidelijk is in ieder geval dat PCI/DSS als verplichting wordt opgelegd.

Mogelijk heeft u toch vragen over deze brief of de acties die u moet ondernemen voor PCI/DSS. Wij proberen u met de hier gegeven informatie verder te helpen.

In de onderstaande Vragen & Antwoorden wordt vaak gesproken over de acquirer (de transactieverwerkende partij, meestal een bank). De acquirer is de partij die ervoor zorgt dat de door u gedane transacties (inter)nationaal worden verwerkt (de Cardhouder wordt belast en u, als accepterende partij wordt uitbetaald, eventueel via een tussenpartij).

De meeste webshops werken via een Payment Service Provider (PSP).
Deze PSP’s moeten ook voldoen aan de eisen van PCI/DSS.

In principe geldt dat indien u uw transacties volledig door een PSP laat afwikkelen, er volstaan kan worden met het jaarlijks invullen van een Self Assessment Questionnaire (SAQ). Indien u op uw webserver creditcardnummers verwerkt (ongeacht of u deze opslaat), dan moet u de uitgebreide PCI questionnaire gaan invullen.

Wie is uw aanspreekpunt?
De internationale creditcardorganisaties (Visa, MasterCard, American Express) leggen de PCI Data Security Standard op aan de acquirers. De acquirers zijn verantwoordelijk voor de uitvoering ervan. Zij zijn ook degenen die in voorkomende gevallen bepalen welke regels gelden en hoe deze dienen te worden toegepast. In het geval van vragen kunt u dan ook het beste met hen contact opnemen.

Fragen und Antworten

FAQ
	1. Wie kann ich überprüfen, welche "Typ" wir Händler sind für PCI?
	Ist die Seite, auf der die Zahlung an die Kreditkarten-Informationen erforderlich ist, eine Seite wo in der Adresszeile die Domainname für Ihr Unternehmen oder Shop gelistet ist? Sie benötigen die Informationen in Frage 3 scheint zu liefern.
	2. Was soll ich tun wenn die Transaktionen vollständig durch eine PSP verarbeitet sind?
	Sie können dann genügt mit ein jährlichen Self Assessment Questionnaire Typ A. Die meisten Käufer haben dieses Dokument zur Verfügung durch eine Online-Anwendung, aber es kann auch hier heruntergeladen werden: https://www.pcisecuritystandards.org/saq/index.shtml, wählen Sie AOC SAQ A
	3. Was soll ich tun, wenn ich Transaktionen verarbeiten durch unsere eigenen Website?
	(1) Sie benötigen erste den Fragebogen zur Selbstbewertung zu füllen. Sie können durch unten link das Formular downloaden: https://www.pcisecuritystandards.org/saq/index.shtml, wählen Sie AOC SAQ D - Merchants (2) Sie müssen auch die Compliance Bescheinigung Formular ausfüllen und liefern. Hinweis: (1) und (2) sind fast immer in einem Dokument geliefert! (3) Zusätzlich können Sie, in jedem Quartal, aber zunächst auch mit den beiden vorgenannten Unterlagen, den Bericht zu einem Netzwerksicherheitsscan bieten. Für die Umsetzung dieser Scans sind eine Reihe von zertifizierten Lieferanten (Approved Scanning Vendors) bezeichnet. McAfee ist einer der ASV in der Welt. Ab € 204, - pro Jahr bieten sie die Werkzeuge für die PCI Scan. In Europa wird dieser Service von Business to You BV zur Verfügung gestellt
	4. Warum sollten wir die Fragebogen füllen?
	Das Bewusstsein für die Sicherheit Ihrer Umgebung. Auch müssen Sie mit der Haftung beschäftigen. Im Falle der Nichteinhaltung wenn die Fragen nicht richtig beantworten sind, werden die Haftung bei Ihnen abgelagert und nicht bei die PSP oder Erwerber. Sie können und werden diese Verantwortung nicht nehmen. Es ist auch nicht bekannt welche Infrastruktur Sie benutzt (Web-Applikationen, Hosting, etc.).
	5. Ich brauche Hilfe beim Ausfüllen in den Antworten der SAQ Form?
	Kurs kann Business to You Ihnen die erste Hilfe verschafften. Es ist jedoch immer der Acquirer/Erwerber die Ihnen die PCI Zertifizierung auf legt und wir können nicht immer im Namen des Acquirers/Erwerbers sprechen. Für detailliertere Fragen müssen wir daher verweisen nach Ihrem Acquirer. Beispiele für Acquirer sind: Paysquare und EMS. Für Paysquare: +31(0)30 2837333, dann wählen Sie die Option 3. Für EMS: +31(0)20 6600595 (E-commerce-Helpdesk)
	6. Ich habe Fragen über verwendete Definitionen in der SAQ Form?
	Unten ein Link zu ein Dokument welche die meisten Definitionen erklärt (in Englisch): https://www.pcisecuritystandards.org/pdfs/pci_dss_glossary_v1-1.pdf
	7. Welche IP-Adressen sollen gescannt werden?
	Die IP-Adressen welche in die Prüfung einbezogen werden: alle "mit dem Internet verbundenen" (auch als "Public" oder "Äußere Verkleidung" bekannt) IP-Adressen und / oder Domain-Namen. Es kann sein dass Unternehmen mehr IP-Adressen haben, durch keine Kreditkartedaten gesendet werden. Wenn dies auf Sie zutrifft, dann können Sie Ihren Erwerber kontaktieren. Sie helfen Ihnen, welche IP-Adressen und Domain-Namen zu ermitteln sollten in die Prüfung. Die Grundregel: im Zweifelsfall sollten Sie Ihrem Acquirer kontaktieren. Wichtig: als Kaufmann, sind Sie verantwortlich und haftbar für Folgeschäden, wie eine IP-Adresse und / oder Domain-Namen nicht in die Prüfung einbezogen entstehen. Wenn Sie Zweifel haben, wenden Sie sich Erwerber.