Dienstleister für Support-Systeme
Heutzutage sind oft viele verschiedene Parteien daran beteiligt, Endkunden die Zahlung mit Kreditkarten in Geschäften oder Webshops zu ermöglichen. Die meisten Händler haben die Zahlungsabwicklung an Zahlungsdienstleister (Payment Service Provider, PSP) ausgelagert, was sie in der Lage versetzt, nur einen kleinen PCI DSS-Selbstbeurteilungsfragebogen (Self Assessment Questionnaire, SAQ) ausfüllen zu müssen (z.B. SAQ A für E-Commerce oder SAQ B-IP für Point-of-Sale). Viele Händler nutzen zusätzlich andere Dienstleister, die sie beim Betrieb von Technologien unterstützen – z.B. durch die Bereitstellung von Webshops oder die Verwaltung von Netzwerkkomponenten oder Webservern. Diese zusätzlichen Dienstleister haben in der Regel keinen Zugriff auf die Konto-/Kartendaten oder die Verschlüsselung, so dass sie viel weniger Einfluss auf die Sicherheit als die PSPs haben. Nennen wir sie „Dienstleister für Support-Systeme“. Dienstleister für Support-Systeme haben immer noch eine kleine PCI DSS-Verantwortung, da sie ihren Händlern helfen, die Systeme sicher zu betreiben und einige PCI DSS-Anforderungen zu erfüllen.
Frühere Scoping-Praxis
Lange Zeit haben Audit-Firmen bei der Festlegung des Scopes und der anwendbaren PCI DSS-Anforderungen für solche Dienstleister für Support-Systeme die Händler-SAQs als Ausgangsbasis verwendet. Sie haben natürlich nicht den Händler-SAQ selbst genutzt (da diese nur für Händler, nicht für Dienstleister verwendet werden dürfen), aber sie haben dennoch die Anforderungen der zugehörigen Händler-SAQs als Grundlage genommen und zusätzliche, dienstleisterspezifische Anforderungen hinzugenommen, die sie darüber hinaus für anwendbar hielten.
Klarstellungen durch das PCI SSC
Im vergangenen Jahr hat das PCI Security Standard Council (PCI SSC) immer mehr Klarstellungen zu diesem Thema erwähnt und veröffentlicht. Angefangen hat es damit, dass sie betont haben, dass ein Dienstleister keinen Händler-SAQ nutzen darf (was schon immer der Fall war, aber anscheinend nicht alle beteiligten Parteien bewusst war).
Letztes Jahr hat das PCI SSC dann begonnen, ihren FAQ-Einträgen weitere Klarstellungen hinzuzufügen, wie z. B.:
- „It was never the intent that a service provider uses a merchant SAQ to determine applicable requirements for a service provider’s PCI DSS assessment. […] All PCI DSS requirements must be considered when scoping a service provider’s assessment to determine which requirements are applicable to the service being provided and the systems providing that service. To the extent that a given service provider offers a limited service for merchants, […] those service providers are still expected to comply with all applicable PCI DSS requirements related to the service and the systems that provide that service.“ (FAQ-Eintrag 1578, Juni 2024)
- „A TPSP that only provides evidence that it meets a limited set of SAQ requirements applicable to a merchant (for example, SAQ A or an SAQ A Attestation of Compliance (AOC)) has not provided sufficient evidence of PCI DSS compliance for its merchant customers.“ (FAQ-Eintrag 1065, aktualisiert im November 2024)
- „Service providers cannot use SAQ eligibility criteria to determine applicability of PCI DSS requirements for assessments documented in a Report on Compliance (ROC).“ (FAQ-Eintrag 1331, aktualisiert im Mai 2025)
Das PCI SSC sieht offensichtlich deutlich mehr Verantwortung auf Seiten eines Dienstleisters als auf Seiten eines Händlers, selbst wenn sie genau dieselben Tätigkeiten ausführen – vor allem, weil ein Dienstleister in der Regel den Dienst für mehrere Kunden erbringt, was in einem höheren Risiko resultiert.
Bestimmung des PCI DSS-Anwendungsbereichs für Dienstleister für Support-Systeme
PCI DSS-Auditoren müssen sich an die Vorgaben des PCI SSC halten. Aus diesem Grund musste der Ansatz für Dienstleister für Support-Systeme angepasst werden. Wenn Sie ein Dienstleister für Support-Systeme sind, kann es daher sein, dass Ihr Auditor in diesem Jahr mehr PCI DSS-Anforderungen bei Ihnen prüfen möchte als in den Vorjahren – z.B. zusätzliche Anforderungen an die Zugangskontrolle, den Schutz vor Malware oder an Logging und Monitoring. Bitte stellen Sie sich daher auf zusätzliche Abstimmungen mit Ihrem Auditor ein, um zu klären, welche Anforderungen in Ihrem Fall anwendbar sind.
