Letztes Update: 28.02.25
Vor wenigen Tagen gab das PCI Security Standards Council (PCI SSC) wichtige Änderungen am SAQ A bekannt. Wer ist von der Änderung betroffen? Ab wann greift diese? Und besonders: Was ändert sich? Wir haben es für Sie zusammengefasst:
An wen richtet sich SAQ A?
Jedes Unternehmen, das Kreditkartenzahlungen akzeptiert, muss sich an die Sicherheitsanforderungen der Kreditkartenorganisationen und somit des PCI DSS halten. Der Nachweis kann je nach Einstufung des Unternehmens in Form eines jährlichen Onsite Audits oder eines jährlich auszufüllenden Self Assessment Questionnaire (SAQ) erfolgen. Dabei gibt es verschiedene SAQ-Typen. Die Auswahl bzw. Anwendung jedes Typs erfordert spezifische (technische) Voraussetzungen (Eligibility Criteria). Diese müssen vom Unternehmen bestätigt werden, bevor es seine PCI-Compliance mit dem passenden Fragebogen nachweisen kann.
Bei SAQ A handelt es sich um einen SAQ-Typ, der bislang insbesondere von kleinen E-Commerce-Händlern genutzt wird. Eines seiner Anwendungskriterien besteht darin, dass der Händler alle Funktionen zur Verarbeitung von Kreditkartendaten vollständig an PCI DSS-validierte und -konforme Dritte ausgelagert haben muss. Mit der neuen Version des SAQ A wird ein weiteres Eligibility Criteria hinzukommen.
Was ändert sich mit dem neuen SAQ A?
Folgende Anforderungen wurden in der neuen Version des SAQ A gestrichen:
- Requirements 6.4.3 und 11.6.1 für die Sicherheit von Zahlungsseiten
- Requirement 12.3.1 für eine gezielte Risikoanalyse zur Unterstützung der Anforderung 11.6.1.
Diese drei Requirements wurden mit der Version 4.0 des PCI DSS neu eingeführt und gehören zu den „Future-dated Requirements“. Sie galten also bisher nur als Best Practices und sollten mit der Deadline 31. März 2025 verpflichtend werden. In der neuen Version des SAQ A wurden sie komplett gestrichen, bleiben aber im eigentlichen Standard weiterhin bestehen. Die Begründung? Laut PCI Council soll eine Balance zwischen Sicherheitsbedürfnissen und angemessenen Sicherheitsanforderungen geschaffen werden.
Damit entfallen für die Händler drei aufwendig umzusetzende Anforderungen. Um jedoch die Sicherheit der SAQ-A-Händler und ihrer Kreditkartendatenverarbeitung weiterhin zu gewährleisten, wurde eine neue Eligibility Criteria für die Anwendung des SAQ A als Nachweisform eingeführt:
[...] for merchants to “confirm their site is not susceptible to attacks from scripts that could affect the merchant’s e-commerce system(s).
Mit der neuen Eligibility Criteria wird nun von Händlern aller Größenordnungen gefordert, dass sie vor der Verwendung des SAQ A bestätigen, dass ihre Website nicht anfällig für Skriptangriffe ist, die das E-Commerce-System beeinträchtigen könnten.
Dies hat zur Folge, dass der neue SAQ A nicht mehr für alle E-Commerce-Händler in Frage kommt. Diejenigen, die die Eligibility Criteria nicht erfüllen können, müssen auf den SAQ A-EP zurückgreifen und somit über 100 zusätzliche Anforderungen erfüllen.
Eine häufig gestellte Frage (FAQ) wurde als Reaktion auf Anfragen aus der Branche nach mehr Klarheit über die neue Eligibility Criteria vom Council veröffentlicht. Hier erfahren Sie mehr.
Ab wann gilt der neue SAQ A?
Derzeit sind 2 Versionen des SAQ A auf der Website des PCI Councils verfügbar: Die bisherige Version von Oktober 2024 und die neue Version von Januar 2025. Erstere bleibt vorerst bestehen und läuft am 31. März 2025 aus. Die neue Version von Januar 2025 wurde bereits zur Einsichtnahme veröffentlicht, tritt aber erst nach Ablauf der alten Version am 31. März 2025 in Kraft.
