Los cuestionarios de autoevaluación (PCI SAQ) son herramientas de validación diseñadas para ayudar a los comerciantes y proveedores de servicios a informar sobre los resultados de su cumplimiento con el estándar PCI DSS. Estos cuestionarios deben ser completados como prueba de que se realizó una autoevaluación de PCI DSS. Luego deben ser enviados anualmente a su entidad adquirente para demostrar el cumplimiento con la última versión de los Estándares de Seguridad de Datos PCI, que actualmente es PCI DSS 3.2.1
El PCI Security Standards Council tiene una lista de 8 PCI SAQs para elegir, según su organización y la forma en que procesa las transacciones con tarjeta de crédito.
Consejos para ayudarte a elegir
Elegir el cuestionario correcto puede resultar algo confuso y abrumador. Por eso le brindamos aquí algunos consejos y explicaciones sobre los diferentes PCI SAQs. Explicamos las diferencias y las condiciones que se deben dar para cada SAQ.
SAQ A
1. La organización debe ser un comercio de Tarjeta No Presente (CNP). Esto incluye cualquier comercio que acepte tarjetas de crédito como forma de pago a través de un sitio de comercio electrónico, por teléfono o por correo electrónico.
2. La organización debe subcontratar completamente todas las funciones de datos de las tarjetas a un tercero (proveedor de servicios) validado por PCI DSS y no almacenar, procesar ni transmitir en su red ningún dato de tarjetas.
SAQ A-EP
1. La organización solo debe aceptar pagos con tarjeta de crédito a través de un canal de comercio electrónico (sitio web). Esto elimina la posibilidad de realizar pagos mediante tarjeta de crédito por correo, teléfono o fax.
2. La organización debe tener uno o varios sitios web en los que no se recojan directamente datos de tarjetas pero que podrían afectar la seguridad de la transacción. En otras palabras, esto significa realizar una redirección segura a un tercero para el pago desde su propio sitio web (iframe). Esta redirección podría afectar la seguridad de la transacción.
3. El comercio no almacena, procesa ni transmite ningún dato de tarjetas en sus propios sistemas.
SAQ B
1. Transacciones con Tarjeta Presente (CP) donde se utiliza la tarjeta de forma presencial. Esto elimina cualquier canal de comercio electrónico, ya que los mismos realizan transacciones de pago con Tarjeta No Presente (CNP).
2. El comercio debe utilizar una máquina de impresión sin almacenamiento de datos del titular de la tarjeta o terminales de acceso telefónico independientes sin almacenamiento electrónico de datos del titular de la tarjeta.
SAQ B-IP
1. El comercio debe utilizar terminales autónomos aprobados por PTS. PTS significa seguridad de transacción de PIN. Por lo tanto, piense en los teclados para introducir el PIN cuando se utiliza una tarjeta de débito.
2. Estos terminales deben estar conectados mediante IP o conectados a Internet (no a través del acceso telefónico como SAQ B) y no almacenar datos electrónicos del titular de la tarjeta.
SAQ C
1. El comercio debe utilizar un sistema de aplicación de pago conectado a Internet.
2. El comercio no debe almacenar ningún dato electrónico de tarjetas. Este SAQ no es aplicable a los comercios electrónicos.
SAQ C-VT
1. El comercio debe ingresar una sola transacción a la vez de forma manual a través del teclado en un terminal virtual basado en Internet (VT) el cuál es proporcionado por un proveedor de servicios PCI DSS validado.
2. El comercio no debe almacenar ningún dato electrónico de tarjetas. Este SAQ no es aplicable para los comercios electrónicos, ya que se aplica al caso de transacciones con tarjeta presente.
SAQ P2PE-HWE
1. El comercio debe utilizar solo terminales de pago que son administrados por una solución P2PE (encriptación de punto a punto) que figura la lista oficial del PCI Security Council.
2. El comercio no debe almacenar ningún dato electrónico de tarjetas. Este SAQ no es aplicable para los comercios electrónicos, ya que se aplica al caso de transacciones con tarjeta presente.
SAQ D
(Si bien esto aparece como un solo SAQ, hay 2 PCI SAQ D)
Comercios: – todo lo demás 😉 como la descripción en el sitio web de PCI Security Standard Council es “Todos los comercios no incluidos en las descripciones de los tipos de SAQ anteriores”.
Proveedores de Servicios – Casi todos los proveedores de servicios deben completar el Informe de cumplimiento de PCI (PCI ROC). Hay algunas excepciones a esto en las que las marcas de pago permiten que un proveedor de servicios solo complete el SAQ.
Como puede ver, la lista de SAQ es larga y puede ser abrumadora sobre cuál debe completar.
Guía para elegir el SAQ apropiado
Aquí hay un par de pautas que puede usar para ayudarlo a elegir el SAQ apropiado:
Transacciones de Tarjetas no Presente – SAQ A, SAQ A-EP, SAQ D
Transacciones de Tarjeta Presente- SAQ B, SAQ B-IP, SAQ C, SAQ C-VT, SAQ P2PW-HWE, and SAQ D
Service Providers – SAQ D
Pregunte a su entidad adquirente
Si no está seguro, consulte a su Asesor de Seguridad Calificado o a su entidad adquirente. Ellos le confirmarán cuál es el SAQ, sin lugar a dudas, apropiado en función de su entorno. Elimine las conjeturas y las confusiones obteniendo la respuesta de una fuente oficial.