NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

Los cuestionarios de autoevaluación (SAQ) son herramientas de validación diseñadas para ayudar a los comerciantes y proveedores de servicios a informar sobre los resultados de su cumplimiento con el estándar PCI DSS. Estos cuestionarios deben ser completados como prueba de que se realizó una autoevaluación de PCI DSS. Luego deben ser enviados anualmente a su entidad adquirente para demostrar el cumplimiento con la última versión de los Estándares de Seguridad de Datos PCI, que actualmente es PCI DSS 3.2.1

El PCI Security Standards Council tiene una lista de 8 PCI SAQs para elegir, según su organización y la forma en que procesa las transacciones con tarjeta de crédito.

 

Consejos para ayudarte a elegir

 

Puede resultar algo confuso y abrumador elegir el cuestionario correcto. Por eso le brindamos aquí algunos consejos y explicaciones sobre los diferentes PCI SAQs. Explicamos las diferencias y las condiciones que se deben dar para cada SAQ.

 

SAQ A

 

1. La organización debe ser un comerciante de Tarjeta No Presente (CNP). Esto significa que cualquier comerciante que acepte tarjetas de crédito como forma de pago a través de un sitio de comercio electrónico, por teléfono o por correo.
2. La organización debe subcontratar completamente todas las funciones de datos del titular de la tarjeta a un tercero (proveedor de servicios) validado por PCI DSS y no almacenar, procesar ni transmitir ningún dato del titular de la tarjeta en su red.

 

SAQ A-EP

 

1. La organización solo debe aceptar pagos con tarjeta de crédito a través de un canal de comercio electrónico (sitio web). Esto elimina la posibilidad de realizar pagos mediante tarjeta de crédito por correo, teléfono o fax.
2. La organización debe tener uno o varios sitios web en los que no se reciban datos del titular de la tarjeta pero que podrían afectar la seguridad de la transacción. En otras palabras, esto significa realizar una redirección segura a un tercero para el pago desde su propio sitio web (iframe). Esta redirección podría afectar la seguridad de la transacción.
3. El comercio no almacena, procesa ni transmite ningún dato del titular de la tarjeta en sus propios sistemas.

 

SAQ B

 

1. Transacciones con Tarjeta Presente (CP) donde se utiliza la tarjeta frente a otra persona. Esto elimina cualquier canal de comercio electrónico, ya que los mismos realizan transacciones de pago con Tarjeta No Presente (CNP).
2. El comercio debe utilizar una máquina de impresión sin almacenamiento de datos del titular de la tarjeta o terminales de acceso telefónico independientes sin almacenamiento electrónico de datos del titular de la tarjeta.

 

SAQ B-IP

 

1. El comercio debe utilizar terminales autónomos aprobados por PTS. PTS significa seguridad de transacción de PIN. Por lo tanto, piense en los teclados para ingresar el PIN cuando se utiliza una tarjeta de débito.
2. Estos terminales deben estar conectados mediante IP o conectados a Internet (no a través del acceso telefónico como SAQ B) y no almacenar datos electrónicos del titular de la tarjeta.

 

SAQ C

 

1. El comercio debe utilizar un sistema de aplicación de pago conectado a Internet.
2. El comerciante no debe almacenar ningún dato electrónico del titular de la tarjeta. Este SAQ no es aplicable a los comerciantes de comercio electrónico.

 

SAQ C-VT

 

1. El comercio debe ingresar una sola transacción a la vez de forma manual a través del teclado en un terminal virtual basado en Internet (VT) el cuál es proporcionado por un proveedor de servicios PCI DSS validado.
2. El comercio no debe almacenar ningún dato electrónico del titular de la tarjeta. Este SAQ no es aplicable para los comercios electrónico, como lo es para el caso de las transacciones con tarjeta presente.

 

SAQ P2PE-HWE

 

1. El comercio debe utilizar solo terminales de pago que son administrados por una solución P2PE (encriptación de punto a punto) que figura la lista oficial del PCI Security Council.
2. El comercio no debe almacenar ningún dato electrónico del titular de la tarjeta. Este SAQ no es aplicable para los comercios electrónico, como lo es para el caso de las transacciones con tarjeta presente.

 

SAQ D

(Si bien esto aparece como un solo SAQ, hay 2 PCI SAQ D)

Comercios: – todo lo demás 😉 como la descripción en el sitio web de PCI Security Standard Council es «Todos los comercios no incluidos en las descripciones de los tipos de SAQ anteriores».
Proveedores de Servicios – Casi todos los proveedores de servicios deben completar el Informe de cumplimiento de PCI (PCI ROC). Hay algunas excepciones a esto en las que las marcas de pago permiten que un proveedor de servicios solo complete el SAQ.

Como puede ver, la lista de SAQ es larga y puede ser abrumadora sobre cuál debe completar.

 

Guía para elegir el SAQ apropiado

 

Aquí hay un par de pautas que puede usar para ayudarlo a elegir el SAQ apropiado:

Transacciones de Tarjetas no Presente – SAQ A, SAQ A-EP, SAQ D
Transacciones de Tarjeta Presente- SAQ B, SAQ B-IP, SAQ C, SAQ C-VT, SAQ P2PW-HWE, and SAQ D
Service Providers – SAQ D

 

Pregunte a su entidad adquirente

 

Si no está seguro, consulte a su Asesor de Seguridad Calificado o a su entidad adquirente. Ellos le confirmarán cuál es el SAQ, sin lugar a dudas, apropiado en función de su entorno. Elimine las conjeturas y las confusiones obteniendo una la respuesta de una fuente oficial.

Contáctenos aquí.