SAQ (Cuestionario de Autoevaluación) es una hoja de autoevaluación para organizaciones que necesitan cumplir con el estándar PCI DSS. Se utiliza en situaciones en las que una empresa se somete a una auditoría ligera en lugar de un escaneo ASV.
Para aprobar el SAQ, se debe cumplir uno de los requisitos: el cliente no es una institución financiera, centro de procesamiento o proveedor global, o el número de transacciones no supera las 300.000 durante el año.
Cumplimiento de PCI DSS
Tipos de SAQ
Dependiendo del método de procesamiento de pagos electrónicos, la hoja de autoliquidación se divide en ocho tipos.
- Tipo “A”. Se asigna a organizaciones que no utilizan tarjetas bancarias para el pago. Involucran a compañías externas que han sido completamente auditadas de acuerdo con el estándar PCI DSS. Son solo un enrutador de dinero para el usuario final.
- Escriba “A-EP”. La entidad legal tiene su propio sitio web, pero un tercero está involucrado en el pago, que ha sido auditado. Esta opción se aplica a los canales de comercio electrónico.
- Tipo “B”. Las organizaciones utilizan terminales independientes que se conectan al proveedor a través de una línea telefónica para realizar pagos.
- Escriba “B-IP”. La empresa utiliza terminales electrónicos independientes que cumplen con el estándar PCI DSS. La conexión se realiza a través del protocolo TCP / IP.
- Tipo “C-VT”. Para realizar una transacción electrónica, una entidad legal ingresa manualmente los datos de la tarjeta bancaria en el terminal cada vez. Se conecta a una red externa a través del protocolo TCP/IP y cumple con el estándar PCI DSS.
- Tipo “C”. La organización realiza pagos a través de terminales POS que están conectados a Internet directamente o mediante un servidor proxy.
- Escriba “P2PE”. En este caso, la empresa utiliza solo productos certificados P2PE.
- Tipo “D”. Aplicable a todas las demás empresas que no coincidan con los tipos anteriores.
En todas las variaciones de SAQ, la información sobre el propietario de la tarjeta bancaria no se almacena, transmite ni procesa por parte de la organización.
El proceso de completar el autocuestionario es difícil debido a los detalles de la redacción. Si el cliente tiene dificultades, se recomienda contactar a un tercero que tenga los certificados necesarios.
Las empresas que estén listas para ayudar a completar la hoja de autoevaluación se someten a capacitación paga en auditoría interna de acuerdo con el estándar PCI DSS.