Das PCI SSC hat die Self-Assessment Questionnaires (SAQs) für PCI DSS v4.0 veröffentlicht. Bei den SAQs handelt es sich um Fragebögen, anhand derer SAQ-berechtigte Händler und Dienstleister ihre PCI DSS-Selbstauskunft durchführen und die Ergebnisse dieser Prüfung melden können.
Neuerungen in den SAQs
Die Aktualisierungen der SAQs für PCI DSS v4.0 beinhalten unter anderem:
- Angleichungen der Inhalte an die Sicherheitsanforderungen aus PCI DSS v4.0
- Ergänzung um neue Anforderungen, die mit PCI DSS v4.0 hinzugekommen sind
- Neuordnung, Umbenennung und Erweiterung der Informationen zur Anwendbarkeit von Anforderungen (Applicability Notes) und Erläuterungenstexten
- Angleichung des Inhalts der SAQ Attestations of Compliance (AOC) an den PCI DSS v4.0
- Ergänzung weiterer Anhänge, beispielsweise um neue Antwortmöglichkeiten widerzuspiegeln
- Aktualisierung des SAQ D für Service Provider: Es wird nun zusätzliche Dokumentation über die Umgebung und detaillierte Beschreibungen der durchgeführten Prüfungen und zugehörigen Ergebnisse für jede PCI DSS-Anforderung verlangt
Die SAQs des PCI DSS v4.0 können in der PCI SSC Document Library auf der PCI SSC-Website eingesehen werden. Händler sollten sich vergewissern, dass sie alle Kriterien für einen bestimmten SAQ erfüllen, bevor sie mit ihrer Selbstauskunft beginnen.
Die aktuellen SAQs bleiben gültig, bis PCI DSS v3.2.1 am 31. März 2024 außer Kraft gesetzt wird. Die mit PCI DSS v4.0 neu eingeführten Anforderungen („future-dated requirements“) müssen dabei erst ab 31.03.2025 verpflichtend umgesetzt werden. Detaillierte Informationen zu den Übergangsfristen zwischen PCI DSS v3.2.1 und PCI DSS v4.0 finden Sie in unserem Blogbeitrag hier.
Ihre nächsten Schritte
Wir empfehlen PCI DSS-pflichtigen Unternehmen, sich bereits frühzeitig mit den neuen SAQs auseinanderzusetzen, da diese mitunter größere Änderungen mit sich bringen. Die wichtigsten Informationen zu PCI DSS v4.0 haben wir auf dieser Seite für Sie zusammengestellt.
Über unsere aktuellen Erkenntnisse und Einschätzungen zum PCI DSS v4.0 werden wir Sie auch in den kommenden Monaten auf dem Laufenden halten. Dazu bieten wir eine Reihe von kostenfreien Webinaren an, in denen unsere Expert*innen Ihnen die konkreten Auswirkungen des PCI DSS v4.0 auf Ihr Unternehmen und Ihren Nachweisprozess erläutern.
Sollten Sie darüber hinaus Fragen haben oder Unterstützung benötigen, sind wir selbstverständlich gerne für Sie da. Sprechen Sie uns einfach an.