NL +31 (0)20 4232420 / SP +34 937 379 542 info@fortytwo.nl

Los cuestionarios de autoevaluación denominado SAQ (Self Assessment Questionnaires) son herramientas de validación diseñadas para ayudar a los comerciantes y proveedores de servicios a informar sobre los resultados de su cumplimiento con PCI DSS. Puede ser utilizado por organizaciones que autoevalúan su cumplimiento con PCI DSS, que no están obligadas a realizar una auditoría PCI DSS y presentar un Informe de cumplimiento ROC (Report of Compliance).

Diferentes tipos de SAQs

Hay diferentes tipos de SAQs disponibles para diversos entornos empresariales. En algunos casos, se necesita una declaración de cumplimiento AOC (Attestation of compliance) adicional. Este es un documento firmado por un asesor de seguridad calificado denominado QSA (Qualified Security Assessor).

Puede ser confuso descubrir si una organización necesita un ROC, o un SAQ sería suficiente. Los criterios de selección se basan en el riesgo de posibles fraudes relacionados con cada tipo de negocio. Dependiendo del tipo de tecnología que implemente su empresa para llevar a cabo las transacciones de pago, se debe completar un tipo de SAQ correspondiente. Si tiene dudas, puede ponerse en contacto con su banco adquirente, la sucursal de su tarjeta de pago o un QSA certificado, quién puede ayudarlo y determinar qué SAQ sería aplicable para su organización.

A continuación, detallamos los diferentes tipos de SAQ en la tabla a continuación:

SAQ descripcion

Si un comercio no almacena electrónicamente los datos del titular de la tarjeta y solo conserva esa información en documentos impresos en papel, se deben usar algunas opciones provistas por los SAQs A, B o C.

Tenga presente lo siguente

  1. Recomendamos que solo almacene documentos con datos del titular de la tarjeta cuando realmente lo requiera y sea justificado por el negocio. Reducirá el riesgo de su empresa.
  2. Los SAQs deben ser completados por un representante de la empresa, pero es posible que necesite ayuda de un QSA. Un QSA tiene la experiencia de evaluar los requisitos, podrá aconsejarle y completar correctamente cada uno de los requisitos en el contexto de su negocio.
  3. Al igual que con las auditorías PCI-DSS tradicionales, debe repetirse anualmente.

Para mas información visite el sitio oficial.

Sibre el Author:
Natalia Morando es profesional de seguridad en PCI con más de 12 años de experiencia. Si quiere más informaciones sobre SAQ y PCI contáctenos.