Payment Page und Anwendbarkeit SAQ A
Das PCI Council hat im September eine FAQ als Klarstellung für die Definition einer Payment Page und der daraus resultierenden Anwendbarkeit des SAQ A veröffentlicht. Entsprechend der FAQ legt das PCI Council fest, dass eine Payment Page alle Elemente umfasst, die an den Browser des Karteninhabers ausgeliefert wird. Die Payment Page kann hierzu entweder als separate Webseite oder als iframe an den Browser des Karteninhabers ausgeliefert werden. Werden auf der Payment Page auch andere Elemente angezeigt (z.B. Warenkorbinformationen, Werbung, etc.), sind diese auch dem Content der Payment Page zuzuordnen. In diesem Fall kann ein Händler einen SAQ A nur anwenden, falls diese zusätzlichen Informationen ebenfalls von den Systemen des PCI-zertifizierten Service Providers geliefert und dargestellt werden. Eine weitere oft verwendete Variante ist, dass die Darstellung des Contents der Payment Page durch Parameter, StyleSheets, etc. gesteuert werden, die auf Systemen des Händlers abgelegt sind und in der Payment Page genutzt werden. Auch in diesem Fall ist nicht mehr die Bedingung erfüllt, dass alle Elemente der Payment Page vom Service Provider kommen müssen und somit die Anwendbarkeit des SAQ A für den Händler nicht mehr gegeben ist.
Weitere Details finden Sie im FAQ auf der Website des PCI Council