La autoevaluación PCI DSS es el instrumento de validación de la conformidad más utilizado por los comerciantes de Nivel 3 y 4. El cuestionario de autoevaluación (SAQ) existe en varias variantes, cada una diseñada para un tipo específico de arquitectura de pago. Elegir el SAQ equivocado o completar el más oneroso cuando no es necesario son errores habituales que incrementan el coste y la complejidad de la conformidad sin ningún beneficio. Comprender qué SAQ se aplica a su situación es el primer paso para una conformidad eficiente.
Qué es la autoevaluación PCI DSS y cuándo se utiliza
El SAQ (Self-Assessment Questionnaire) es un documento de autoevaluación publicado por el PCI Security Standards Council que los comerciantes pueden completar sin la intervención de un QSA certificado. Está disponible para los comerciantes de Nivel 3 y 4 y, en ciertos casos, para los de Nivel 2 que lo soliciten a su circuito. El proceso de autoevaluación incluye la cumplimentación del cuestionario y, para algunos tipos de SAQ, la realización de escaneos de vulnerabilidades trimestrales por parte de un ASV (Approved Scanning Vendor) aprobado por el PCI SSC.
La autoevaluación no sustituye a una auditoría formal en todos los contextos. Los comerciantes de Nivel 1, los que tienen los volúmenes de transacciones más altos, siempre deben someterse a una auditoría llevada a cabo por un QSA y producir un ROC (Report on Compliance). Para los comerciantes de Nivel 2, el requisito depende del circuito: Visa Europa, por ejemplo, exige un ROC para todos los comerciantes de Nivel 2, mientras que otros circuitos aceptan el SAQ. Antes de proceder con la autoevaluación, es necesario verificar con el adquirente qué método de validación se acepta para su nivel.
Qué SAQ debe completar: la tabla de referencia
El SAQ a completar depende enteramente de la arquitectura de aceptación de pagos. El SAQ A es el más sencillo, con menos de 50 controles: se aplica a los comerciantes de comercio electrónico que utilizan exclusivamente pagos hospedados por terceros (página de pago hospedada o iframe) y a los comerciantes que aceptan tarjetas solo mediante terminales certificados proporcionados por terceros, sin acceso a los datos de tarjeta. El SAQ A-EP, con aproximadamente 190 controles, se aplica a los comerciantes de comercio electrónico que utilizan JavaScript de terceros para recoger datos de tarjeta directamente en el navegador del cliente. El SAQ B se aplica a los comerciantes con terminales POS no conectados a internet o por teléfono. El SAQ B-IP es para terminales IP conectados a internet pero sin almacenamiento de datos de tarjeta.
El SAQ C se refiere a comerciantes con sistemas de caja conectados a internet. El SAQ C-VT es para comerciantes que introducen manualmente los datos de tarjeta en un terminal virtual hospedado por un proveedor. El SAQ D es el más complejo, con más de 200 controles, y se aplica a todos los comerciantes que no entran en las categorías anteriores, incluidos los que almacenan datos de tarjeta en sus propios sistemas o que utilizan API para transmitir los datos de tarjeta a las pasarelas. El SAQ P2PE se aplica a los comerciantes que utilizan soluciones de cifrado punto a punto certificadas por el PCI SSC: es muy sencillo, con aproximadamente 35 controles, porque la protección es gestionada íntegramente por el proveedor de la solución P2PE.
Cómo reducir el SAQ con la tokenización
El camino más común y directo para pasar del SAQ D al SAQ A es la tokenización con página de pago hospedada. Un comerciante que hoy utiliza su propia página de checkout con recogida directa de datos de tarjeta vía API (SAQ D) puede migrar a un checkout hospedado por el proveedor de tokenización. En este escenario, el usuario introduce los datos de tarjeta en una página gestionada por el proveedor certificado, este devuelve un token al comerciante, y el comerciante nunca ve el PAN. La transición reduce el perímetro del comerciante de un CDE completo a ningún CDE, calificándolo para el SAQ A.
El ahorro operativo de esta migración es significativo. Un comerciante SAQ D debe realizar escaneos de vulnerabilidades trimestrales de sus propios servidores, pruebas de penetración anuales, gestionar las políticas de control de acceso para el CDE, formar al personal en todos los requisitos PCI DSS aplicables y documentar decenas de controles. Con el SAQ A, la mayoría de estas obligaciones desaparece porque el perímetro del comerciante no incluye sistemas que toquen datos de tarjeta. El coste anual de la conformidad para un comerciante SAQ A se estima en menos del 20% del coste equivalente para un comerciante SAQ D con el mismo volumen de transacciones.
Preguntas frecuentes
¿La autoevaluación sustituye a una auditoría formal?
Para los comerciantes de Nivel 3 y 4, sí: el SAQ es el instrumento de validación aceptado por los adquirentes. Para los comerciantes de Nivel 1 y muchos de Nivel 2, es necesaria una auditoría formal llevada a cabo por un QSA con producción de un ROC. Si tiene dudas sobre su nivel o sobre qué método de validación acepta su adquirente, verifíquelo directamente con él antes de proceder con la autoevaluación.
¿Puedo completar el SAQ yo solo o necesito un QSA?
El SAQ puede completarse de forma autónoma por el comerciante sin la intervención de un QSA. El PCI SSC proporciona las plantillas gratuitamente en su sitio web, con instrucciones detalladas para su cumplimentación. Para arquitecturas complejas o en caso de dudas sobre la clasificación del SAQ correcto, un consultor o el soporte del proveedor de servicios de pago puede reducir el riesgo de errores. Un SAQ completado incorrectamente puede ser invalidado por el adquirente en la fase de revisión.
¿Cuántas veces al año debo completar el SAQ?
El SAQ debe completarse una vez al año. Algunos adquirentes exigen la presentación del SAQ actualizado con motivo de la renovación del contrato de adquirencia o de forma anual fija. Para algunos tipos de SAQ (como el SAQ A-EP y el SAQ D), también se requieren escaneos de vulnerabilidades trimestrales por parte de un ASV acreditado. Verifique con su adquirente la frecuencia y las modalidades de presentación exigidas para su contrato.
Del SAQ D al SAQ A con la tokenización: el camino más rápido para simplificar la autoevaluación PCI DSS anual. Descubra PCI Proxy EU.