Nach dem 31. Oktober 2016 ist die Verwendung von Self-Assessment Questionnaires (kurz SAQs) in der Version PCI DSS 3.1 nicht mehr möglich. Unternehmen, die ihren PCI DSS Nachweis mit Hilfe eines SAQs erbringen, stehen nun also vor der Frage, ob und inwieweit auch sie von der neuen Version PCI DSS 3.2 betroffen sind.
Nachfolgend haben wir Ihnen daher eine Übersicht erstellt und gehen im Anschluss kurz auf die jeweiligen Änderungsschwerpunkte ein.
SAQ A: Dieser SAQ wird mit sieben zusätzlichen Anforderungen etwas umfangreicher. Schwerpunkte sind dabei die Bereiche Nutzermanagement und das Erarbeiten eines Incident Response Plans.
SAQ A-EP: Mit 39 zusätzlichen Anforderungen ist dieser SAQ am stärksten von der Änderungen der PCI Version betroffen. Anforderungen in den Bereichen Netzwerksicherheit, sichere Entwicklung, Authentifizierung, Logging sowie IDS / IPS (Intrusion Detection Systeme und Intrusion Prevention Systeme) sind hier neu hinzugekommen.
SAQ B und SAQ B-IP sind nicht von den Änderungen des PCI 3.2 betroffen.
SAQ C: Unternehmen, die Ihren Nachweis mit diesem SAQ erbringen müssen, erwarten 17 zusätzliche Anforderungen unter anderem in den Bereichen Nutzermanagement, Authentifizierung & physische Sicherheit.
SAQ C-VT: Auch innerhalb dieses SAQs sind Anforderungen im Bereich Nutzermanagement und physischer Sicherheit hinzugekommen.
SAQ P2PE: Unternehmen, die in die Kategorie des SAQ P2PE fallen, müssen mit PCI DSS 3.2 nun zwei Anforderungen weniger erfüllen, konkret zum Thema Maskierung (Requirement 3.3) und Versand von PANs (Requirement 4.2).
Gerne unterstützen wir Sie bei weiteren Fragen. Wenden Sie sich dazu an unser PCI Competence Center.
Alle Änderungen im Detail und erste Praxiserfahrungen mit PCI DSS 3.2 können Sie auch direkt erfahren. Besuchen Sie dazu unseren kommenden PCI Best Practice Workshop.