PCI SAQ Quiz: Finden Sie Ihr passendes SAQ in 2 Minuten

Wählst du den Falschen, verschwendest du Stunden mit irrelevanten Fragen. Oder schlimmer: Du überspringst Kontrollen, die du tatsächlich brauchst – und öffnest so Tür und Tor für Sicherheitsvorfälle, Bußgelder oder Sanktionen deines Zahlungsdienstleisters.

Die Lösung? Dieses Quiz.

Es fragt, wie du heute Zahlungen entgegennimmst, wohin Kartendaten fließen und welche Systeme sie berühren. Zwei Minuten später bekommst du deinen SAQ-Typ, eine verständliche Begründung und eine To-do-Liste zum Handeln.

So funktioniert das PCI SAQ Quiz

Das Quiz führt dich systematisch durch deine Zahlungsumgebung:

1. Wie Kunden Kartendaten eingeben. Gehostetes Checkout? Zahlungsseite auf deiner Website? Eigenständiges Terminal? Kassenlösung in deinem Netzwerk? Virtuelles Terminal? Die Antwort bestimmt deinen Grundumfang.
2. Wohin Kartendaten fließen. Du bestätigst, welche Systeme Kartendaten berühren und ob sie irgendwo gespeichert werden (selbst vorübergehend). Speicherung verändert alles.
3. P2PE- und manuelle Eingabekontrolle. P2PE-validierte Terminals verkleinern den Geltungsbereich enorm. Manuelle Eingaben im Browser – selbst „nur manchmal“ – vergrößern ihn stark.
4. Letzte Prüfungsfragen. Einige Ja/Nein-Fragen klären Sonderfälle und bestätigen dein Setup.
5. Dein Ergebnis. Du erhältst deinen SAQ-Typ, den Grund, warum er zu deinem Unternehmen passt, und eine konkrete Aufgabenliste, um konform zu werden – ohne Zeit zu verschwenden.

Was du von deinem Ergebnis hast

• Dein exakter SAQ-Typ. Kein Raten. Das Quiz sagt dir, welchen Fragebogen du ausfüllen musst—A, A-EP, B, C oder D—abhängig davon, wie du tatsächlich Zahlungen annimmst.
• Verständliche Begründung. Du siehst, warum dieser SAQ zu deinem Setup passt, sodass du es deinem Zahlungsdienstleister, Prüfer oder Team verständlich erklären kannst – ohne klingen zu müssen, als würdest du aus einem Compliance-Handbuch vorlesen.
• Konkrete To-do-Liste. Greifbare nächste Schritte—Netzwerk segmentieren, auf gehostete Felder umsteigen, P2PE einführen—mit denen du Compliance zu einem Projekt machst, das du dieses Quartal abschließen kannst, statt es monatelang zu verschleppen.
• Kontext für tiefergehendes Lernen. Neu bei PCI? Wir verlinken zu unserem Leitfaden über PCI-Compliance für kleine Unternehmen, damit du die Hintergründe jeder Anforderung verstehst.

Kurze SAQ-Definitionen – Was die einzelnen Typen bedeuten

SAQ A — Kartendaten berühren nie deine Systeme

Vollständig gehosteter E-Commerce oder wiederkehrende Abrechnung. Deine Website leitet auf eine Zahlungsseite weiter oder verwendet ein iframe, bei dem der Zahlungsanbieter alles übernimmt. Deine Systeme sehen, verarbeiten oder speichern nie Kartendaten.

SAQ A-EP — Deine Website hostet Zahlungselemente

Deine Website hostet Zahlungsseiten, JavaScript oder Skripte, die den Checkout-Prozess beeinflussen könnten. Höherer Geltungsbereich als SAQ A, da deine Infrastruktur in den Zahlungsprozess eingreift – auch wenn keine Kartendaten gespeichert werden.

SAQ B — Nur Auswahlautomaten mit Telefonleitung

Eigenständige Terminals, die über eine Telefonleitung wählen, oder alte Abziehgeräte. Keine Internetverbindung zu deinem Netzwerk bedeutet minimalen Umfang.

SAQ C — Eigenständige, IP-verbundene Terminals

Zahlungsterminals, die mit dem Internet verbunden, aber vom Firmennetzwerk isoliert sind. Häufig im Einzelhandel mit separierter Kasseninfrastruktur. Keine Speicherung von Kartendaten.

SAQ D — Alles andere

Individuelle Zahlungsprozesse, jegliche Speicherung von Kartendaten oder ein breiter Netzwerkbereich, in dem mehrere Systeme Zugriff auf Zahlungsdaten haben könnten.

Das ist der große SAQ—329 Fragen, die deine gesamte Umgebung abdecken.

Häufige Fehler, die dich in den falschen SAQ führen

• Sie gehen davon aus, dass Sie SAQ A erfüllen, wenn Sie Zahlungsfelder einbetten. iFrames und gehostete Weiterleitungen können als SAQ A gelten – aber wenn Ihre Seite Zahlungsfelder direkt lädt (auch per JavaScript), handelt es sich wahrscheinlich eher um A-EP. Das Quiz klärt das schnell.
• Mitarbeitende geben Karten in einen Browser ein – selbst „nur manchmal“. Tippt eine Filialleitung Kartendaten in ein virtuelles Terminal auf einem unkontrollierten Laptop, erweitert sich Ihr PCI-Geltungsbereich erheblich. Optimieren Sie den Ablauf mit richtigen Terminals oder einer abgesicherten virtuellen Terminal-Lösung.
• P2PE wird ausgelassen. Geräte mit Point-to-Point-Verschlüsselung sorgen dafür, dass Kartendaten direkt am Terminal verschlüsselt werden und bis zum Prozessor verschlüsselt bleiben. P2PE-validierte Terminals verringern den Scope drastisch – fragen Sie Ihren Anbieter gezielt danach.
• Systeme in einem flachen Netzwerk mischen. Sind POS-Terminals im selben Netzwerk wie Admin-Arbeitsplätze, WLAN oder andere Geräte? Das führt zu einer größeren PCI-Reichweite. Segmentieren Sie Ihr Netzwerk, sodass Bezahlsysteme isoliert sind. Dies ist einfacher als gedacht und erspart später enormen Audit-Aufwand.
• Mobile Zahlungen werden ignoriert. Nehmen Sie Bestellungen telefonisch entgegen und geben die Karten in ein virtuelles Terminal ein, zählt das. Verarbeitet Ihre App Zahlungen, zählt das ebenfalls. Das Quiz bezieht solche Szenarien mit ein.

Nächste Schritte nach Ihrem Ergebnis

Wenn Sie mit knappen Ressourcen arbeiten, nutzen Sie die Quiz-Checkliste zusammen mit unserem Leitfaden zur PCI-Compliance für kleine Unternehmen.

So gehen Sie Schritt für Schritt vor, ohne einen Berater zu benötigen – bis Sie tatsächlich einen brauchen.

Wenn Sie Ihre Systeme neu aufbauen oder aktualisieren, geben Sie Anbietern mit gehosteten Feldern und P2PE-Unterstützung den Vorrang.

Unser Vergleich der besten Zahlungsdienstleister zeigt, welche Plattformen die Compliance erleichtern – und welche Probleme verursachen.

Wenn das Quiz Ihnen SAQ D empfiehlt, keine Panik.

Ja, es ist der längste Fragebogen, aber viele Unternehmen starten dort und reduzieren den Umfang nach und nach.

Setzen Sie P2PE-Terminals ein, wechseln Sie im E-Commerce auf gehostete Checkouts und segmentieren Sie Ihre Netzwerke. Innerhalb weniger Monate können Sie sich für einen einfacheren SAQ qualifizieren – und sparen laufend Zeit und Kosten beim Audit.

Warum das wichtiger ist, als die meisten Einzelhändler denken

PCI dreht sich nicht nur um das Vermeiden von Geldbußen – auch wenn diese sich schnell summieren. Es geht darum, Ihr Unternehmen vor den Folgen einer Datenpanne mit durchschnittlich $200 Kosten pro kompromittierter Karte zu schützen, so Daten aus der Branche.

Eine Datenpanne bei einem mittelgroßen Einzelhändler mit 500 Karten pro Monat kann $100.000 an Kosten für Forensik, Benachrichtigung, Kartenerneuerung und Imageschaden verursachen.

Durch die richtige SAQ können Sie sich auf Maßnahmen konzentrieren, die das Risiko tatsächlich senken, statt sich mit irrelevanten Anforderungen zu beschäftigen. Das ist der Unterschied zwischen einer Woche für den falschen Fragebogen und der Einhaltung an einem Nachmittag samt klarer Checkliste.

Machen Sie jetzt das Quiz – in zwei Minuten kennen Sie Ihre SAQ und können direkt starten.