Le SAQ A (Self-Assessment Questionnaire A) est le formulaire d'auto-évaluation PCI DSS le plus simple et le plus accessible. Avec seulement 22 exigences à vérifier (dans la version PCI DSS 4.0), il représente le niveau de conformité le plus léger pour les marchands dont les paiements sont entièrement gérés par un prestataire externe certifié. Pour de nombreuses PME e-commerce européennes, se qualifier pour le SAQ A devrait être l'objectif principal de leur stratégie de conformité PCI DSS.
Qu'est-ce que le SAQ A ?
Le SAQ A est l'un des neuf types de questionnaires d'auto-évaluation définis par le PCI SSC (Payment Card Industry Security Standards Council). Il est conçu pour les marchands qui ont entièrement externalisé la gestion des données de carte à un ou plusieurs tiers certifiés PCI DSS, et dont aucun système interne ne stocke, traite ou transmet des données de compte en clair.
En pratique, le SAQ A s'applique principalement aux marchands e-commerce qui utilisent un formulaire de paiement hébergé (hosted payment page) ou un iframe fourni par un prestataire certifié PCI DSS Level 1. Le client saisit ses données de carte directement sur la page du prestataire, et le marchand ne reçoit jamais le PAN.
Introduit pour simplifier la conformité des petits marchands, le SAQ A a été mis à jour dans PCI DSS 4.0 pour couvrir également les scripts de paiement JavaScript hébergés. La version actuelle inclut des exigences supplémentaires sur la sécurité des scripts de page de paiement, reflétant les risques des attaques Magecart.
Conditions d'éligibilité au SAQ A
Pour se qualifier pour le SAQ A, le marchand doit remplir toutes les conditions suivantes sans exception. Une seule condition non remplie entraîne l'obligation d'utiliser un SAQ plus complexe (généralement SAQ A-EP ou SAQ D).
- Seules les transactions e-commerce ou MOTO (par téléphone) sont concernées — pas de transactions en présence du porteur
- Toutes les fonctions de paiement sont entièrement externalisées à un tiers certifié PCI DSS
- Le marchand ne stocke, traite ou transmet aucune donnée de carte sur ses systèmes ou locaux
- Le formulaire de saisie de carte est hébergé par le prestataire certifié (iframe ou redirect)
- Le site web du marchand n'a pas accès aux données de carte (pas de formulaire sur le domaine du marchand)
Dans PCI DSS 4.0, une nouvelle exigence a été ajoutée pour les marchands SAQ A utilisant des scripts JavaScript : le marchand doit maintenir un inventaire de tous les scripts sur les pages de paiement et s'assurer qu'ils n'ont pas été compromis. Cette exigence vise à prévenir les attaques de type Magecart où des scripts malveillants interceptent les données de carte saisies sur des formulaires d'iframes.
Contenu du SAQ A : les 22 exigences
Le SAQ A couvre six des douze domaines de PCI DSS, en se concentrant sur les exigences applicables aux marchands qui n'ont pas de données de carte dans leur environnement. Les exigences portent principalement sur la politique de sécurité, la gestion des accès, la surveillance et les procédures de réponse aux incidents.
Les domaines couverts incluent : la politique de sécurité de l'information (exigence 12), la gestion des vulnérabilités des systèmes qui se connectent à l'environnement de paiement hébergé (exigence 6), le contrôle des accès aux systèmes (exigences 7 et 8), et la surveillance de l'intégrité des pages de paiement (exigence 6.4.3 dans PCI DSS 4.0).
Même si 22 exigences peuvent sembler modestes, elles exigent une documentation formelle : une politique de sécurité écrite, un processus de revue des scripts de page de paiement, un registre des accès aux systèmes, et une procédure de réponse aux incidents. Pour une petite entreprise sans ressources IT dédiées, cette documentation peut représenter un effort significatif.
Comment PCI Proxy EU permet de se qualifier pour le SAQ A
PCI Proxy EU fournit les formulaires de paiement hébergés nécessaires pour satisfaire les conditions d'éligibilité au SAQ A. Le formulaire de saisie de carte est un iframe sécurisé, servi depuis les serveurs PCI Proxy EU (domaine pci-proxy.eu), entièrement isolé du domaine du marchand. Les données de carte saisies ne transitent jamais par les serveurs du marchand.
PCI Proxy EU est certifié PCI DSS Level 1 et fournit une Attestation of Compliance (AOC) à ses clients marchands. Cette attestation est requise par certains acquéreurs pour valider que le prestataire tiers gère correctement les données de carte. Elle simplifie également la réponse aux questions 12.8 du SAQ A relative à la gestion des prestataires de services.
Pour accompagner le remplissage du SAQ A, PCI Proxy EU fournit un guide de correspondance entre les fonctionnalités de la plateforme et les exigences du questionnaire. Ce guide précise pour chaque exigence comment la configuration recommandée de PCI Proxy EU permet d'y répondre, réduisant le temps de préparation du SAQ à quelques heures plutôt que des semaines.
SAQ A vs SAQ A-EP : quelle est la différence ?
Le SAQ A-EP (A-Electronic Commerce/Payment) s'applique aux marchands e-commerce dont le site web héberge le formulaire de paiement mais redirige les données vers un PSP tiers. Contrairement au SAQ A, le SAQ A-EP suppose que le serveur du marchand a un rôle dans le flux de paiement, ce qui impose des exigences supplémentaires : 191 contrôles contre 22 pour le SAQ A.
La distinction clé est l'emplacement du formulaire de saisie de carte : si le formulaire est sur votre domaine (même s'il soumet directement au PSP via JavaScript), vous êtes SAQ A-EP. Si le formulaire est dans un iframe servi par un tiers ou si l'utilisateur est redirigé vers une page externe pour saisir ses données, vous pouvez être SAQ A.
Qualifiez-vous pour le SAQ A et simplifiez votre conformité PCI DSS : Découvrir PCI Proxy EU.