Payment Card Industry (PCI) Datensicherheitsstandard



Ähnliche Dokumente
Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Selbstbeurteilungsfragebogen A und Konformitätsbescheinigung

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Selbstbeurteilungsfragebogen P2PE-HW und Konformitätsbescheinigung

Payment Card Industry (PCI) Datensicherheitsstandard Selbstbeurteilungsfragebogen B und Konformitätsbescheinigung

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Payment Card Industry (PCI) Datensicherheitsstandard

Registrierung am Elterninformationssysytem: ClaXss Infoline

Mitglied: Name od Firma: Ausbildungsstätte: Straße: Postleitzahl: Land: Ansprechpartner: Vorname: Nachname: Geburtsdatum: Tätigkeit: Telefon: Fax:

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Noch Fragen? Möchten Sie die über Sie für das Kindergeld gespeicherten Daten einsehen oder verbessern?

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Tutorial. Wie kann ich meinen Kontostand von meinen Tauschpartnern in. übernehmen? Zoe.works - Ihre neue Ladungsträgerverwaltung

Hinweise zum elektronischen Meldeformular

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Anleitung für IQES-Verantwortliche Persönliche Konten verwalten

Schritte zum Systempartner Stufe Großhandel

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

Betroffenes Produkt: PRI Femureinschlägerkopf, (vollständige Liste der betroffenen Chargen siehe Anhang 1)

Online Schulung Anmerkungen zur Durchführung

Kapitel I: Registrierung im Portal

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Hilfedatei der Oden$-Börse Stand Juni 2014

Version 1.0 Datum Anmeldung... 2

SRM - Supplier Self Service (Lieferant) Author: Dennis Vater; Version: 01, January 1th, 2013

Erstellen einer in OWA (Outlook Web App)

Muster. Ort, Datum Unterschrift Patientin / Patient / Betreuungsperson Ort, Datum Stempel / Unterschrift des Klinikmitarbeiters

Projektmanagement in Outlook integriert

Um sich zu registrieren, öffnen Sie die Internetseite und wählen Sie dort rechts oben

Einschreibeformular für das Schuljahr. Daten der Heimschülerin

Payment Card Industry (PCI) Datensicherheitsstandard Selbstbeurteilungsfragebogen A und Konformitätsbescheinigung

SFirm32 Umstellung FTAM EBICS

Einrichten des Elektronischen Postfachs

Wie bestelle ich meine Wacken Card?

Nplate (Romiplostim) SELBSTINJEKTIONS-TAGEBUCH Zur Unterstützung der Anwendung von Nplate zu Hause

- Hinweis: Dieses Formular kann elektronisch ausgefüllt werden - Referat: SOZIALES. Antrag auf Zuschuss aus dem Sozialfonds

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Kontaktlos bezahlen mit Visa

E-TIME ADVANCED Dokumentation zum Vorgehen bei der elektronischen Zeiterfassung. Geben Sie folgende Internetadresse ein:

Aktivieren von Onlinediensten im Volume Licensing Service Center

Internationales Altkatholisches Laienforum

Erstellen eines Formulars

Einrichtung eines VPN-Zugangs

Prüfungsregeln und Beispiele. Certified Professional for Software Architecture. Foundation Level

Anleitung Abwesenheitsmeldung und -Weiterleitung (Kundencenter)

Fragebogen für Franchise-Interessenten

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Anleitung öffentlicher Zugang einrichten

Anwendungsbeispiele Buchhaltung

Übung - Datenmigration in Windows 7

Zugangsantragsformular für die ausländischen Unternehmer, die eine Meldung einreichen

Kommunikations-Management

Bundesanstalt für Straßenwesen V4z - lf (ANERK)

Antrag auf Freistellung, um eine Ausbildung, ein Praktikum oder ein bestimmtes Studium zu absolvieren

1.Voraussetzungen Installation und Konfiguration des Zahlungsmoduls Upload der Contribution auf Ihren Webserver...

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

Wir empfehlen Ihnen eine zeitnahe Bewerbung, da in jedem Halbjahr nur eine limitierte Anzahl an Bündnissen bewilligt werden können.

Elektronisches Reservationssystem Sportanlagen Stadt Aarau

Online-Abzüge 4.0. Ausgabe 1

Solidpro Support- Richtlinien

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

LSF-Anleitung für Studierende

Antrag auf Feststellung der besonderen Eignung für den Master-Studiengang Betriebswirtschaftslehre

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Anlegen eines DLRG Accounts

Konfiguration einer Sparkassen-Chipkarte in StarMoney

Hinweise zum elektronischen Meldeformular

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

pflegeagenturplus BETREUUNGSBOGEN Ihr Plus in der 24-Stunden-Pflege 1. Angaben zum Auftraggeber (Kontaktperson) Name / Vorname Straße, Nr.

Telekommunikation Ihre Datenschutzrechte im Überblick

Anleitung für die Registrierung und das Einstellen von Angeboten

Im vorliegenden Tutorial erfahren Sie, wie Sie in myfactory Postfächer für den Posteingang und den Postausgang anlegen.

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

BlackBerry Bridge. Version: 3.0. Benutzerhandbuch

STOP! ACHTUNG! Bitte beachten Sie, dass die missbräuchliche Nutzung des Formulars straf- und zivilrechtlich verfolgt wird.

Erstellen einer digitalen Signatur für Adobe-Formulare

Onlinesuche nach Rechnungen

- Unterhaltssicherungsbehörde - Vor dem Ausfüllen bitte die Hinweise auf Seite 5 beachten

Nachname Vorname. Straße. PLZ / Wohnort. Telefon privat Telefon mobil. Geburtsdatum Geburtsort. Staatsangehörigkeit

Anlage eines neuen Geschäftsjahres in der Office Line

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Payment Card Industry (PCI) Datensicherheitsstandard Selbstbeurteilungsfragebogen C-VT und Konformitätsbescheinigung

Projektmanagement in Outlook integriert

Anregung zur Einrichtung einer Betreuung (rechtlichen Vertretung)

Name: Sämtliche Vornamen: Geburtsname bzw. frühere Namen:

Wenn Sie kein in seinen Rechten verletzter Inhaber von Schutzrechten sind, melden Sie rechteverletzende Artikel bitte unserem Sicherheitsteam:

Anleitung zur Online-Schulung

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Bewerbung um Aufnahme als Lehrling Ablauf der Bewerbungsfrist: 29. Februar 2016

Electronic Systems GmbH & Co. KG

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Transkript:

Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen P2PE-HW Version 3.0 Februar 2014

Abschnitt 1: Beurteilungsinformationen Anleitung zum Einreichen Dieses Dokument muss zur Bestätigung der Ergebnisse der Selbstbeurteilung des Händlers gemäß den PCI- DSS-Anforderungen (Payment Card Industry Data Security Standard) und den Sicherheitsbeurteilungsverfahren ausgefüllt werden. Füllen Sie alle Abschnitte aus. Der Händler ist dafür verantwortlich, dass alle Abschnitte von den betreffenden Parteien ausgefüllt werden. Wenden Sie sich an Ihren Acquirer (Handelsbank) oder die Zahlungsmarken, um Reporting- und Sendeverfahren festzulegen. Teil 1. Informationen zum Qualified Security Assessor und Händler Teil 1a. Händlerinformationen Firma: Name des Ansprechpartners: ISAName(n) (falls zutreffend) Telefonnr.: Unternehmensadresse DBA (Geschäftstätigkeit als): E-Mail: Ort: Bundesland/Kreis: Land: Postleitzahl: URL: Teil 1b. Informationen zur Firma des Qualified Security Assessors (falls vorhanden) Firma: QSA-Leiter: Telefonnr.: Unternehmensadresse E-Mail: Ort: Bundesland/Kreis: Land: Postleitzahl: URL: Teil 2. Zusammenfassung für die Geschäftsleitung Teil 2a: Handelstätigkeit (alle zutreffenden Optionen auswählen): Einzelhändler Telekommunikation Lebensmitteleinzelhandel und Supermärkte Erdöl Bestellung über E-Mail oder Telefon Sonstige (bitte angeben): Welche Arten von Zahlungskanälen werden von Ihrem Unternehmen bedient? Schriftliche/Telefonische Bestellung (MOTO) Welche Zahlungskanäle sind durch diesen SBF abgedeckt? 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 1

E-Commerce Vorlage der Karte (persönlich) Schriftliche/Telefonische Bestellung (MOTO) E-Commerce Vorlage der Karte (persönlich) Hinweis: Wird einer Ihrer Zahlungskanäle oder -prozesse durch diesen SBF nicht abgedeckt, wenden Sie sich bezüglich der Validierung für die anderen Kanäle an Ihren Acquirer oder Ihre Zahlungsmarke. Teil 2b. Beschreibung des Zahlungskartengeschäfts Wie und in welcher Kapazität speichert, verarbeitet bzw. überträgt Ihr Unternehmen Karteninhaberdaten? Teil 2c. Standorte Listen Sie alle Einrichtungen und Standorte auf, die in der PCI-DSS-Prüfung berücksichtigt wurden (beispielsweise Einzelhandelsgeschäfte, Büroräume, Rechenzentren, Callcenter): Art der Einrichtung Standort(e) der Einrichtung (Ort, Land) Teil 2d. P2PE-Lösung Geben Sie folgende Informationen zur validierten P2PE-Lösung an, die in Ihrem Unternehmen verwendet wird: Name des P2PE-Lösungsanbieters: Name der P2PE-Lösung: PCI-SSC-Referenznummer Vom Händler genutztes eingetragenes P2PE-Gerät: Teil 2e. Beschreibung der Umgebung Beschreiben Sie in allgemeiner Form die in dieser Beurteilung berücksichtigte Umgebung. Beispiel: Ein- und ausgehende Verbindungen zur/von der CDE (cardholder data environment, Karteninhaberdaten-Umgebung). 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 2

Wichtige Systemkomponenten in der CDE, etwa POS-Geräte, Datenbanken und Webserver sowie weitere notwendige Zahlungskomponenten (falls zutreffend). Nutzt Ihr Unternehmen die Netzwerksegmentierung auf eine Weise, dass der Umfang Ihrer PCI-DSS-Umgebung davon betroffen ist? (Hinweise zur Netzwerksegmentierung finden Sie im PCI DSS im Abschnitt Netzwerksegmentierung.) Teil 2f. Externe Dienstanbieter Werden Karteninhaberdaten von Ihrem Unternehmen an externe Dienstanbieter (beispielsweise Gateways, Flugreiseagenturen, Anbieter von Kundenbindungsprogrammen usw.) weitergegeben? Falls ja: Name des Dienstanbieters: Beschreibung der erbrachten Dienstleistungen: Hinweis: Die Anforderung 12.8 gilt für alle Stellen, die als Antwort auf diese Frage aufgelistet werden. Teil 2g. Qualifikation zum Ausfüllen des SBF P2PE-HW Der Händler bestätigt die Qualifikation zum Ausfüllen dieser Kurzfassung des Selbstbeurteilungsfragebogens (in Bezug auf diesen Zahlungskanal) aus folgenden Gründen: Sämtliche Zahlungsabwicklungen werden über die vom PCI SSC genehmigte validierte P2PE-Lösung (wie oben beschrieben) getätigt. Die einzigen Systeme in der Umgebung des Händlers, mit denen Kontodaten gespeichert, übermittelt oder verarbeitet werden, sind die für die Nutzung mit der validierten und PCI-notierten P2PE-Lösung genehmigten POI-Geräte (Point of Interaction). Auf andere Art und Weise werden vom Händler keine elektronischen Karteninhaberdaten übermittelt oder empfangen. Der Händler stellt sicher, dass kein Legacy-Speicher an elektronischen Karteninhaberdaten in der Umgebung vorhanden ist. Wenn der Händler Karteninhaberdaten speichert, befinden sich diese nur in Berichten oder Kopien von Quittungen auf Papier und werden nicht elektronisch empfangen. Außerdem hat der Händler alle Kontrollen in der vom P2PE-Lösungsanbieter bereitgestellten P2PE- Betriebsanleitung (P2PE Instruction Manual, PIM) implementiert. 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 3

Abschnitt 2: Selbstbeurteilungsfragebogen P2PE-HW Diese Konformitätsbescheinigung spiegelt die Ergebnisse einer Selbstbeurteilung wider, die in einem zugehörigen Selbstbeurteilungs-Fragebogen dokumentiert ist. Die in dieser Bescheinigung und im Selbstbeurteilungs- Fragebogen dokumentierte Beurteilung wurde abgegeben am: Wurden ausgleichende Kontrollen eingesetzt, um irgendeine Anforderung im Selbstbeurteilungs-Fragebogen zu erfüllen? Wurden irgendwelche Anforderungen im Selbstbeurteilung- Fragebogen als nicht zutreffend identifiziert? Konnten irgendwelche Anforderungen im Selbstbeurteilungs- Fragebogen wegen rechtlicher Verpflichtungen nicht erfüllt werden? 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 4

Abschnitt 3: Validierungs- und Bescheinigungsdetails Teil 3. PCI-DSS-Validierung Auf der Grundlage der Ergebnisse des SFB P2PE-HW vom (Abschlussdatum) stellen die in Teil 3b bis 3d angegebenen Unterzeichner den folgenden Konformitätsstatus für die in Teil 2 dieses Dokuments vom (Datum) ermittelte Stelle fest (eine Option angeben): Konform: Alle Abschnitte des PCI DSS SBF P2PE-HW sind vollständig und alle Fragen wurden mit beantwortet. Daraus ergibt sich die Gesamtbewertung KONFORM. (Name des Händlerunternehmens) hat somit vollständig Konformität mit dem PCI DSS gezeigt. Nicht konform: Nicht alle Abschnitte des PCI DSS SBF P2PE-HW sind vollständig und/oder nicht alle Fragen wurden mit beantwortet. Daraus ergibt sich die Gesamtbewertung NICHT KONFORM. (Name des Händlerunternehmens) hat somit keine vollständige Konformität mit dem PCI DSS gezeigt. Zieldatum für Konformität: Eine Stelle, die dieses Formular mit dem Status Nicht konform einreicht, muss evtl. den Aktionsplan in Teil 4 dieses Dokuments ausfüllen. Sprechen Sie sich mit Ihrem Acquirer oder Ihrer/Ihren Zahlungsmarke(n) ab, bevor Sie Teil 4 ausfüllen, da nicht alle Zahlungsmarken diesen Abschnitt erfordern. Konform, jedoch mit gesetzlicher Ausnahme: Eine oder mehrere Anforderungen sind aufgrund einer gesetzlichen Einschränkung, die das Erfüllen der jeweiligen Anforderung(en) unmöglich macht, mit gekennzeichnet. Bei dieser Option ist eine zusätzliche Prüfung durch den Acquirer oder die Zahlungsmarke erforderlich. Falls diese Option markiert ist, arbeiten Sie folgende Punkte ab: Betroffene Anforderung Beschreibung, inwieweit die gesetzlichen Einschränkungen das Erfüllen der Anforderung verhindern Teil 3a. Feststellung des Status Unterzeichner bestätigt: (Zutreffendes ankreuzen) Der PCI-DSS Selbstbeurteilungsfragebogen P2PE-HW, Version (Version des SBF), wurde den enthaltenen Anleitungen gemäß ausgefüllt. Alle Informationen im oben genannten SBF und in dieser Bescheinigung stellen die Ergebnisse meiner Beurteilung korrekt dar. Ich habe den PCI DSS gelesen und erkenne an, dass ich jederzeit die für meine Umgebung geltende PCI- DSS-Konformität aufrechterhalten muss. 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 5

Teil 3a. Feststellung des Status (Fortsetzung) Für den Fall, dass sich meine Umgebung ändert, erkenne ich an, dass ich meine Umgebung erneut beurteilen und etwaige zusätzliche PCI-DSS-Anforderungen erfüllen muss. Auf KEINEM der bei dieser Beurteilung überprüften Systeme wurden vollständige Spurdaten ( Full-Track- Daten ), 1 CAV2-, CVC2-, CID- oder CVV2-Daten 2 oder PIN-Daten 3 gefunden. Teil 3b. Bescheinigung des Händlers Unterschrift des Beauftragten des Händlers Name des Beauftragten des Händlers: Datum: Teil 3c. QSA-Bestätigung (falls zutreffend) Falls ein QSA an dieser Beurteilung beteiligt war, beschreiben Sie bitte dessen Aufgabe: Unterschrift des QSA Name des QSA: Datum: Unternehmen des QSA: Teil 3d. ISA-Bestätigung (falls zutreffend) Falls ein ISA an dieser Beurteilung beteiligt war, beschreiben Sie bitte dessen Aufgabe: Unterschrift des ISA Name des ISA: Datum: 1 Im Magnetstreifen verschlüsselte Daten oder gleichwertige Daten auf einem Chip, die bei der Autorisierung während einer Transaktion bei vorliegender Karte verwendet werden. Einheiten dürfen nach der Transaktionsautorisierung keine vollständigen Magnetstreifendaten speichern. Die einzigen Elemente der Spurdaten, die beibehalten werden dürfen, sind Kontonummer, Ablaufdatum und Name. 2 Der drei- oder vierstellige Wert, der im oder rechts neben dem Unterschriftenfeld bzw. vorne auf einer Zahlungskarte aufgedruckt ist und zur Verifizierung von Transaktionen bei nicht vorliegender Karte verwendet wird. 3 Persönliche Identifizierungsnummer, die vom Karteninhaber bei einer Transaktion bei vorliegender Karte eingegeben wird, bzw. ein verschlüsselter PIN-Block in der Transaktionsnachricht. 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 6

Teil 4. Aktionsplan für Status Nicht konform Wählen Sie zu jeder Anforderung die zutreffende Antwort auf die Frage nach der Konformität mit PCI-DSS- Anforderungen aus. Wenn Sie einen der Punkte mit beantworten, müssen Sie möglicherweise das Datum angeben, an dem das Unternehmen die Anforderung voraussichtlich erfüllen wird. Geben Sie außerdem eine kurze Beschreibung der Maßnahmen an, die zur Erfüllung der Anforderung ergriffen werden. Sprechen Sie sich mit Ihrem Acquirer oder Ihrer/Ihren Zahlungsmarke(n) ab, bevor Sie Teil 4 ausfüllen, da nicht alle Zahlungsmarken diesen Abschnitt erfordern. PCI-DSS- Anforderung Anforderungsbeschreibung Konformität mit PCI- DSS-Anforderungen (eine Option auswählen) JA NEIN Datum bis zur Mängelbeseitigung und Abhilfemaßnahmen (falls ausgewählt wurde) 3 Schutz gespeicherter Karteninhaberdaten 4 Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze 9 Physischen Zugriff auf Karteninhaberdaten beschränken 12 Pflegen Sie eine Informationssicherheitsrichtlinie für das gesamte Personal. 2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 7

2006 2014 PCI Security Standards Council, LLC. Alle Rechte vorbehalten. Seite 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback