En junio de 2018, el PCI Security Standards Council (SSC) publicó la versión 3.2.1 de los Cuestionarios de Autoevaluación (SAQ). Aquí, echamos un vistazo a los cambios introducidos y lo que estos significan para usted. También le ayudaremos a elegir el SAQ adecuado para la validación de conformidad PCI DSS que usted necesita.

Si comparamos v3.2.1 con v3.2, el único cambio real que se introdujo fue la adición del requisito PCI DSS 6.2 (componentes del sistema y parches de seguridad de software) al SAQ A. Esto nos indica que el PCI SSC está prestando más atención y está aumentando los requisitos incluso para los comerciantes de comercio electrónico que utilizan los métodos URL Redirect y/o iFrame (Ref. Information Supplement: Best Practices for Securing E-commerce en Secciones 2.1 y 2.2).

Elegir el SAQ adecuado

Hay 8 SAQs disponibles para comerciantes y uno para proveedores de servicios. Esto no dificulta la tarea de elegir el correcto, así que vamos a tratar de simplificar esto con instrucciones paso a paso. Primero, empecemos con una revisión de todos los tipos de SAQ.

PCI DSS SAQ 1PCI DSS SAQ A-EPPCI DSS SAQ B&B-IPPCI DSS SAQ C&C-VTsaq5Si desea obtener una versión en PDF de esta tabla para ver e imprimir, haga clic aquí.

Es una tabla compleja con muchas opciones que toman tiempo para comprender (si ya se siente cómodo leyéndola y entendiéndola, ¡por favor contacte a nuestro equipo de Recursos Humanos ya que es posible que queramos contratarlo inmediatamente!).

A continuación, le proporcionaremos algunos consejos y orientación sobre cómo gestionar la tabla y sus resultados de forma sistemática.

Si usted es un proveedor de servicios y es elegible para la validación de SAQ (en caso de duda, consulte con las marcas de pago y/o su QSA), entonces es sencillo, ya que sólo puede utilizar SAQ D para proveedores de servicios. Recuerde que una entidad puede ser un comerciante y un proveedor de servicios, y no es raro ver a un comerciante proporcionando servicios de procesamiento de transacciones a otros comerciantes, haciendo de la misma entidad un proveedor de servicios también.

Si usted es un comerciante y es elegible para la validación de SAQ (siempre consulte con su adquirente), debe identificar el tipo de SAQ aplicable por separado para cada canal de aceptación de pago con tarjeta que tenga; tarjeta presente (tienda física), MOTO (orden por correo/teléfono) y/o comercio electrónico.

La primera pregunta que debe responder es si almacena datos electrónicos del titular de la tarjeta, incluidos los datos heredados. Si la respuesta es sí, usted no necesita perder su tiempo mirando diferentes tipos de SAQ, será SAQ D. El siguiente paso es revisar la necesidad del negocio de mantener el almacenamiento de datos de los tarjetahabientes electrónicos. SAQ D es el más complejo, y si logra evitar el almacenamiento de datos del titular de la tarjeta, usted puede reducir significativamente sus esfuerzos de cumplimiento al completar un tipo diferente de SAQ.

Debe dirigirse a cada canal de pago con tarjeta por separado. Empecemos con el comercio electrónico. Si acepta transacciones de comercio electrónico, sólo puede ser elegible para SAQ A, SAQ A-EP o SAQ D. Lea todos los criterios de elegibilidad cuidadosamente para determinar el tipo de SAQ aplicable. Como regla general, los comerciantes de comercio electrónico que utilizan los métodos URL Redirect y/o iFrame serán elegibles para SAQ A. Los comerciantes de comercio electrónico que utilizan el método de correo directo (DPM) y/o el formulario JavaScript serán elegibles para SAQ A-EP. Y los comerciantes de comercio electrónico que utilizan un método API o cualquier otro método tendrán que trabajar con SAQ D (Ref. Information Supplement: Best Practices for Securing E-commerce en Secciones 2.1, 2.2, 2.3, 2.4 y 2.5).

Para transacciones MOTO (orden por correo/teléfono) usted puede ser elegible para:

  • SAQ A (todas las funciones relacionadas con los datos del titular de la tarjeta están totalmente subcontratadas a un proveedor de servicios compatible con PCI DSS),
  • SAQ B (se utiliza máquinas/terminales de marcado sin conexión a Internet),
  • SAQ B-IP (se utilizan dispositivos homologados PTS con conexión a Internet),
  • SAQ C (se utiliza una aplicación de pago en un sistema con conexión a Internet),
  • SAQ C-VT (se utiliza una solución de terminal virtual basada en navegador web),
  • SAQ P2PE (las transacciones se aceptan utilizando una solución P2PE listada en PCI SSC),
  • SAQ D (si no es elegible para ningún otro tipo anterior de SAQ).

Cuando se trata del canal de aceptación de tarjetas presentes (comerciantes físicos), usted tiene la opción de:

  • SAQ B (se utiliza máquinas/terminales de marcado sin conexión a Internet),
  • SAQ B-IP (se utilizan dispositivos homologados PTS con conexión a Internet),
  • SAQ C (se utiliza una aplicación de pago en un sistema con conexión a Internet),
  • SAQ C-VT (se utiliza una solución de terminal virtual basada en navegador web),
  • SAQ P2PE (las transacciones se aceptan utilizando una solución P2PE listada en PCI SSC),
  • SAQ D (si no es elegible para ningún otro tipo anterior de SAQ).

Usted tiene que cumplir con todos los criterios de elegibilidad para el tipo de SAQ al que aspira y puede que no sea fácil de lograr. Por lo tanto, le recomendamos que busque la ayuda de su adquirente y/o QSA cuando tenga dudas. Las SAQ C y C-VT son especialmente difíciles de interpretar cuando se trata de los criterios de elegibilidad para la segmentación de la red. Tampoco debe olvidar las grabaciones de voz que puedan contener datos del titular de la tarjeta cuando acepte pagos telefónicos. Esto lo deja inmediatamente en SAQ D. Los pagos telefónicos son aún más complicados ya que necesita considerar la tecnología que está usando, por ejemplo, Voz sobre IP usando la red de una compañía podría solucionarlo.

Una vez que haya identificado los tipos de SAQ elegibles para cada uno de sus canales de aceptación de pagos con tarjeta, siempre debe ponerse en contacto con su adquirente para confirmar si necesita completar SAQs separados para cada canal. Según nuestra experiencia, es posible llegar a un acuerdo con el comprador para que un comerciante rellene un SAQ para cada canal de aceptación de pagos con tarjeta, por ejemplo, SAQ A para el comercio electrónico, SAQ P2PE para las transacciones físicas y SAQ C-VT para las transacciones MOTO. Completar estos tres SAQs es mucho más fácil que llenar un solo SAQ D.

Otro consejo que queremos dejarle es que siempre complete y mantenga su(s) diagrama(s) de flujo de datos de la tarjeta (requisito 1.1.3 del PCI DSS) y un inventario de los componentes del sistema que pueden ser validados por el PCI DSS (requisito 2.4 del PCI DSS). Usted notará que SAQs A, A-EP (1.1.3 pero no 2.4), B, B-IP, C, C-VT y P2PE no tienen estos requisitos listados, pero es información clave que prueba que usted ha realizado el sondeo correctamente.

¿Necesita ayuda para elegir el SAQ correcto y para completarlo?

Para garantizar la protección de los datos de los titulares de tarjetas, póngase en contacto con nuestros expertos en seguridad cibernética. Le guiaremos a través del camino de la conformidad, asegurándonos de que no se pierda nada.

Irmantas Brazaitis

Written by Irmantas Brazaitis

PCI QSA and Information Security professional with more than 14 years of experience within the payment card industry. I’ve been involved in dozens of ATM compliance and security projects having worked for global payment service providers alongside the Fraud team, engaged in end-to-end fraud prevention process (from monitoring of suspicious transactions to seizure of criminals).

Certified as Qualified Security Assessor (QSA) by PCI Security Standards Council.