¿Cuál SAQ PCI DSS es el adecuado para su empresa?

Entender qué Cuestionario de Autoevaluación (SAQ) es el adecuado para su negocio es una tarea vital pero compleja. Aquí le explicamos cada una de las 9 SAQ posibles para ayudarle a tomar la decisión correcta.

Antes de que nos sumerjamos en los diferentes SAQs disponibles, demos un paso atrás y veamos brevemente el origen del PCI DSS y si realmente necesita un ROC en lugar de un SAQ:

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad de la información desarrollados por los principales emisores de tarjetas de crédito del mundo: Visa, MasterCard, American Express, Discover y JCB. Es administrado por el Consejo de Estándares de Seguridad de PCI y sirve a organizaciones que trabajan con y están asociadas con tarjetas de pago. Estos serían comerciantes, instituciones financieras, vendedores de puntos de venta, etc.

Es importante tener en cuenta que dependiendo del emisor de la tarjeta de crédito (VISA, MasterCard, JCB, Amex, Diner, etc.), el esquema del que se sirve un comerciante, un SAQ por sí solo no es suficiente. Puede ser necesario completar un Informe de Cumplimiento (ROC). Esta es una auditoría formal realizada por un Evaluador de Seguridad Calificado (QSA). El ROC se produce durante una evaluación PCI DSS in situ y cubre todos los procesos relacionados con la recolección, almacenamiento, transmisión, destrucción de tarjetas de crédito y más. Debido a la complejidad e importancia de la auditoría, pronto la cubriremos en un blog aparte.

Sin embargo, los pequeños comerciantes y proveedores de servicios no están obligados a someterse a una auditoría completa sobre el cumplimiento de una QSA y presentar un ROC. En su lugar, tienen que llenar un Cuestionario de Autoevaluación (SAQ). Es una herramienta de autovalidación destinada a ayudar en la evaluación de los niveles de cumplimiento del PCI DSS. El Consejo PCI ha desarrollado múltiples versiones de SAQs para diferentes escenarios, cada uno de los cuales contiene preguntas relevantes para un tipo específico de entorno comercial.

Independientemente de lo que tenga que completar (SAQ o ROC), los mismos requisitos de PCI DSS aplican. La principal diferencia es que los SAQs pueden ser completados autónomamente mientras que los ROCs son reportados por QSAs después de la finalización de completar una auditoría PCI DSS.

ComprenderquéSAQ es el adecuado para sunegocio

Hay un total de 9 SAQs y determinar cuál es el apropiado para su empresa puede ser un problema. Por lo general, dependerá de la forma en que procese las tarjetas de crédito y maneje los datos del titular de la tarjeta. Tenga en cuenta que el PCI Council publica con frecuencia actualizaciones de los requisitos y, por ahora, la última actualización (PCI DSS versión 3.2.1) se publicó en mayo de 2018. Puede encontrar la biblioteca de documentos sobre SAQs en la página web oficial del Consejo PCI.

Como se ha indicado anteriormente, debe elegir el SAQ adecuado para su entorno de procesamiento. Todos los SAQs excepto el SAQ D, tienen un factor común, ninguno de ellos permite el almacenamiento electrónico de los datos del titular de la tarjeta. Aquí está el desglose de todos los SAQs y la explicación de quién debe completar cada uno:  

1. SAQ A es para comerciantes de comercioelectrónico/correo/telefónico (tarjeta no presente) y no es aplicable a los canalespresenciales. Si suempresa ha externalizadocompletamentetodas las funciones del tarjetahabiente (por ejemplo, redirigiendo el procesamiento de tarjetas de pago a un proveedor de servicios compatible con PCI DSS o utilizando un IFRAME) y no almacena, procesanitransmiteningúndato de tarjetahabiente, esteSAQ es el que usted debe rellenar.
2. SAQ A-EP es ligeramentediferente de SAQ A y estádedicadoaaquelloscomerciantes de comercioelectrónico que no recibendirectamente los datos del titular de la tarjetapero que podríanafectar a la confidencialidad de estas transacciones de pago. A menudo, los comerciantes que entranen esta categoríasubcontratanparcialmente el procesamiento de pagosaotrosproveedores de servicios compatibles con PCI DSS a los que conectan sus sitios web de comercioelectrónicoutilizandotécnicas tales como el correodirecto o técnicassimilares que facilitan la transmisión de datos de los tarjetahabientes. Este SAQespecíficotieneencuenta las amenazasespecíficas para cuentas y otras amenazasadicionales, por lo que requiere un mayor esfuerzo.
3. SAQ B es para comerciantes que utilizanmáquinas de impresión y/o terminales de marcaciónindependientes y no tienentransmisión, procesamiento y almacenamiento de datoselectrónicos del titular de la tarjeta. Este SAQ es aplicablesólo a los canalespresenciales y no a los comerciantes de comercioelectrónico.
4. SAQ B-IP ies para comerciantes que sóloutilizandispositivos PTS (PIN Transactions Security) independientes con conexiones IP al procesador de pagos, y que cuentan con almacenamientoelectrónico del tarjetahabiente. Este SAQcubre los terminales que estánbasadosen la red, mientras que SAQ B es para los terminales que transmitendatos a través de la conexióntelefónica.
5. SAQ C-VT es para comerciantes que ingresanmanualmente una sola transacción a la vez con un tecladoen una terminal de pago virtual basadoen Internet y alojado por un proveedor de serviciosexterno. Estoscomerciantes no almacenanningúndato del titular de la tarjeta. (No aplicable a los comerciantes de comercioelectrónico).
6. SAQ C es para comerciantes con una aplicación de pagoconectadaa Internet, pero sin almacenamientoelectrónico de datos del tarjetahabiente. (No aplicable a los comerciantes de comercioelectrónico).
7. SAQ P2PE es para comerciantes que utilizandispositivos de encriptación punto a punto (P2PE) aprobados, sin almacenamiento de datos de tarjetaselectrónicas. P2PE es un servicioproporcionado por un tercero y es una combinación de dispositivos, aplicaciones y procesosseguros que encriptan la informacióndesde el punto de interacción (por ejemplo, el punto donde se desliza la tarjeta) hasta que la informaciónllega al entornoseguro de desencriptación del proveedor.
8. SAQ D para Comerciantes es para comerciantes que no subcontratan el procesamiento de sus tarjetas de crédito o utilizan una solución P2PE, y puedenalmacenardatos de tarjetas de créditoelectrónicamente.
9. SAQ D para Proveedores de Servicios es para proveedores de serviciosconsideradoselegibles para completar un SAQ.

Dependiendo de la complejidad del entorno de procesamiento, los SAQs contienen un número diferente de preguntas. Ya se los hemos explicado, así que ya sabe qué esperar:

Cualquierdueño de negocio hoy endía se preocupa por la seguridad. Esto no los convierteenexpertosenseguridad. El lenguajeutilizadoen los diferentescuestionarios, elegir el correcto y el saber cómocumplimentarlos es todo un reto. A menudo estedesafío es una adición a un día a díayarepleto. Si usted es un empresario que necesitacumplir con las normas de una manerasegura y eficiente, nosotrospodemosayudarle. El Portal PCI de ZeroRisk a través de una interfazamigable y preguntas simples selecciona el SAQcorrecto con usted y lo guía a través de la realización, ¡todo sin que ustedtenga que convertirseen un expertoenseguridaden el proceso!