PCI Security Standards Council (PCI SSC) har publicerat en ny vanlig fråga (FAQ 1588) för att hjälpa företag att bättre förstå de uppdaterade behörighetskriterierna för Self-Assessment Questionnaire (SAQ) A enligt PCI DSS v4.0.1. Dessa nya krav träder i kraft den 1 april 2025 och är särskilt viktiga för e-handelsföretag som använder inbäddade betalningssidor (som iframes).

Vad förändras?

För att vara behöriga för SAQ A måste handlare bekräfta att deras webbplats inte är sårbar för skriptbaserade attacker som kan äventyra kundernas betalningsdata.

Hur kan handlare bekräfta att deras webbplats är säker?

Handlare kan bekräfta att deras webbplats är skyddad mot skriptattacker på två sätt:

Genom att implementera säkerhetsåtgärder:

  • Använd skyddsmetoder som rekommenderas i PCI DSS krav 6.4.3 och 11.6.1 för att blockera skript som kan stjäla betalningsdata.
  • Dessa skyddsåtgärder kan implementeras av handlaren själv eller av en tredjepartsleverantör (TPSP).

Genom att få en bekräftelse från sin betalningsleverantör:

  • Om handlaren använder en PCI DSS-kompatibel tredjepartsleverantör (TPSP) eller betalningsprocessor, kan de bekräfta att den inbäddade betalningssidan redan har skydd mot skriptattacker.
  • Handlare måste säkerställa att de följer leverantörens säkerhetsriktlinjer korrekt.

Vem gäller detta för?

Denna förändring gäller endast e-handelsföretag som använder en tredjepartsleverantörs inbäddade betalningssida (t.ex. en iframe) på sin webbplats.

Vem är INTE berättigad till SAQ A enligt dessa kriterier?

  • Handlare som omdirigerar kunder till en betalningsleverantörs webbplats (t.ex. via en omdirigeringslänk, HTTP 30x, meta-taggar eller JavaScript-omdirigering).
  • Handlare som helt outsourcar betalningshantering (t.ex. genom att skicka en betalningslänk via e-post).

Vad bör handlare göra nu?

Kontrollera med sin betalningsleverantör (TPSP) eller acquirer om SAQ A är rätt självutvärdering för deras verksamhet.
Samarbeta med sin leverantör för att säkerställa att de har rätt säkerhetsåtgärder på plats.
Besöka PCI SSC:s webbplats för att läsa hela FAQ:n och ytterligare resurser.

Denna uppdatering syftar till att göra efterlevnad tydligare och säkerställa starkare betalningssäkerhet för e-handelsföretag. Genom att följa dessa riktlinjer kan handlare tryggt validera sin efterlevnad och skydda sina kunders betalningsdata.

https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/how-does-an-e-commerce-merchant-meet-the-saq-a-eligibility-criteria-for-scripts/

 

Contact Us