El PCI DSS SAQ A es el cuestionario de autoevaluación más sencillo previsto por el PCI DSS: menos de 30 preguntas frente a las más de 300 del SAQ D. Comprender quién puede completarlo y cómo llegar a ese punto es estratégico para cualquier comerciante que quiera reducir la carga de conformidad sin renunciar a la seguridad. La distinción entre los diferentes tipos de SAQ depende de cómo y dónde se procesan los datos de tarjeta.
Los tipos de SAQ PCI DSS: de A a D, qué cambia
El PCI Security Standards Council ha definido varios tipos de SAQ (Self-Assessment Questionnaire) para adaptar los trámites al perfil de riesgo real del comerciante. No todos los comerciantes tienen el mismo nivel de exposición: un comercio electrónico que utiliza una página de pago hospedada es muy diferente de una empresa que procesa números de tarjeta por teléfono y los almacena en una base de datos interna.
Los principales tipos son: SAQ A para comerciantes card-not-present que delegan completamente el tratamiento de los datos de tarjeta a terceros certificados; SAQ A-EP para comercio electrónico con página de pago parcialmente delegada; SAQ B para terminales físicos no conectados a internet; SAQ C para sistemas POS conectados; SAQ D para todos los demás comerciantes, incluidos los que almacenan PAN o gestionan el checkout directamente. El SAQ D es el más completo y oneroso.
SAQ A frente a SAQ D: la diferencia que vale horas de trabajo
La diferencia entre el SAQ A y el SAQ D no es solo el número de preguntas. El SAQ D exige documentar políticas de seguridad, controles de acceso, procedimientos de registro, gestión de vulnerabilidades, planes de respuesta a incidentes y mucho más. Un comerciante medio invierte semanas en recopilar pruebas y completarlo correctamente, a menudo con el apoyo de un consultor externo.
El SAQ A, por el contrario, se centra en un perímetro mínimo: verifica que el comerciante no conserve, procese ni transmita datos de tarjeta en sus propios sistemas y que el proveedor de pago utilizado esté certificado PCI DSS. Con el SAQ A, un comerciante puede gestionar su propia autoevaluación en pocas horas, sin consultoría especializada y sin necesidad de documentar toda la infraestructura informática.
Cómo pasar del SAQ D al SAQ A con la tokenización
El requisito previo para el SAQ A es que ningún dato de tarjeta transite ni se conserve en los sistemas del comerciante. La tokenización resuelve este problema de raíz: el checkout envía los datos de tarjeta directamente al vault certificado de PCI Proxy EU a través de una página de pago hospedada o un SDK client-side. El comerciante recibe únicamente un token opaco, que no tiene valor fuera del vault.
Este cambio arquitectónico tiene un impacto directo en el tipo de SAQ aplicable. Un comerciante que hoy completa un SAQ D porque su CRM o su ERP recibe los PAN puede migrar al SAQ A simplemente adoptando una solución de tokenización certificada. El perímetro se reduce, la documentación se simplifica y el coste total de la conformidad disminuye de forma significativa.
Preguntas frecuentes
¿Cuántas preguntas tiene el SAQ A?
El SAQ A en la versión PCI DSS v4.0 contiene aproximadamente 22 requisitos verificables, muchos de los cuales requieren únicamente confirmar que el tratamiento de datos está delegado a un proveedor certificado. El SAQ D, en la misma versión, supera las 300 preguntas con solicitudes de pruebas documentales para cada una.
¿El SAQ A vale para todos los comerciantes de comercio electrónico?
No. El SAQ A solo es válido para comerciantes card-not-present que nunca tocan los datos de tarjeta en sus propios servidores. Si el checkout está totalmente hospedado por el proveedor de pago certificado y el comerciante nunca ve un PAN, el SAQ A es aplicable. Si, en cambio, el comerciante gestiona aunque sea una parte del formulario de pago, se recae en el SAQ A-EP o en el SAQ D.
Con PCI Proxy EU, ¿qué SAQ debo completar?
En la configuración estándar, donde el checkout utiliza la página hospedada o el SDK client-side de PCI Proxy EU sin que los datos de tarjeta pasen por sus servidores, puede completar el SAQ A. Su adquirente o PSP puede confirmar esto durante el proceso de incorporación.
¿Quiere pasar del SAQ D al SAQ A reduciendo drásticamente su carga de conformidad? Descubra PCI Proxy EU.