Vertragspartner Stufe 1: 2,5 Millionen oder mehr Transaktionen mit American Express Karten pro Jahr (oder von American Express als Vertragspartner der Stufe 1 definiert)
Bericht zur jährlichen Vor-Ort-Sicherheitsbewertung (obligatorisch)
Hierbei handelt es sich um eine ausführliche Vor-Ort-Untersuchung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden.
Die Untersuchung wird von einem qualifizierten Sicherheitsgutachter (Qualified Security Assessor, QSA) durchgeführt. Alternativ können Sie die Untersuchung selbst durchführen und die Ergebnisse von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Vierteljährlicher Netzwerkscan (obligatorisch)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Vertragspartner Stufe 2: 50.000 bis 2,5 Millionen Transaktionen mit American Express Karten pro Jahr (Dienstleister: weniger als 2,5 Millionen Transaktionen)
Fragebogen zur jährlichen Selbstbewertung (obligatorisch)
Hierbei handelt es sich um eine Selbstüberprüfung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Verwendet wird dabei der Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire, SAQ) der PCI.
Sie müssen den Fragebogen ausfüllen und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Vierteljährlicher Netzwerkscan (obligatorisch)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Vertragspartner Stufe 3 (designiert): Weniger als 50.000 Transaktionen mit American Express Karten pro Jahr und von American Express als Vertragspartner eingestuft, der Validierungsdokumente einreichen muss. (Gilt nur für Vertragspartner, nicht für Dienstleister.) American Express kontaktiert diese designierten Vertragspartner und liefert ihnen Details zur Meldung ihres Sicherheitsstatus durch Übermittlung von PCI-Validierungsdokumenten.
Fragebogen zur jährlichen Selbstbewertung (obligatorisch)
Hierbei handelt es sich um eine Selbstüberprüfung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Verwendet wird dabei der Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire, SAQ) der PCI.
Sie müssen den Fragebogen ausfüllen und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Vierteljährlicher Netzwerkscan (obligatorisch)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Vertragspartner Stufe 3: Weniger als 50.000 Transaktionen mit American Express Karten pro Jahr (gilt nur für Vertragspartner, nicht für Dienstleister).
Fragebogen zur jährlichen Selbstbewertung (empfohlen)
Hierbei handelt es sich um eine Selbstüberprüfung der Geräte, Systeme, Netzwerke und Komponenten, mit denen Informationen von Karteninhabern gespeichert, verarbeitet oder übertragen werden. Verwendet wird dabei der Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire, SAQ) der PCI.
Sie müssen den Fragebogen ausfüllen und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigen lassen. Die Ergebnisse müssen jährlich an uns übermittelt werden.
Vierteljährlicher Netzwerkscan (empfohlen)
Hierbei handelt es sich um einen Remote-Test, bei dem Ihre mit dem Internet verbundenen Computernetzwerke und Webserver auf potenzielle Sicherheitslücken hin überprüft werden.
Diese Untersuchung muss von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt werden. Anschließend müssen Sie die ausgefüllte Bescheinigung der Scan-Compliance (Attestation of Scan Compliance, AOSC) des ASV oder die Zusammenfassung der Scanergebnisse an uns übermitteln (alle 90 Tage).
Meilensteine 1-4 der jährlichen Compliancebewertung nach dem PCI DSS Prioritized Approach – Validierungsdokumentation
Bei den Meilensteinen 1-4 der jährlichen Compliancebewertung nach dem PCI DSS Prioritized Approach handelt es sich um eine Untersuchung der Geräte, Systeme und Netzwerke (und der zugehörigen Komponenten), mit denen Karteninhaber- und/oder sensible Authentifizierungsdaten gespeichert, verarbeitet oder übertragen werden. Diese Prüfung muss von Ihnen durchgeführt und von Ihrem Chief Executive Officer, Chief Financial Officer, Chief Information Security Officer oder Hauptverantwortlichen bestätigt sowie jährlich über die Compliancebescheinigung „PCI DSS Prioritized Approach Summary & Attestation of Compliance“ (PASAOC) an American Express übermittelt werden.