SAQ A vs SAQ D : lequel vous convient ?
Le questionnaire que vous remplissez détermine la quantité de travail PCI DSS que vous assumez. La différence entre SAQ A et SAQ D est d'environ 30 exigences contre 300 — et cela se résume à une seule chose : si les données de carte touchent vos systèmes.
~30
Exigences dans SAQ A
~300
Exigences dans SAQ D
0
Données de carte en périmètre (SAQ A)
Jusqu'à 95%
Réduction du périmètre avec les tokens
SAQ A vs SAQ D, ligne par ligne
La même entreprise se présente de manière complètement différente selon qu'elle détient des données de carte ou non.
| Dimension | SAQ A LE PLUS SIMPLE | SAQ D |
|---|---|---|
| Pour qui | Gestion des données de carte entièrement externalisée | Vous stockez / traitez / transmettez des données de carte |
| Exigences approximatives | ~30 | ~300 |
| Données de carte dans vos systèmes | Aucune | Oui |
| Environnement des données du porteur de carte | Non requis | Construire, segmenter & maintenir |
| Scans ASV & tests de pénétration | Minimal | Périmètre complet |
| Coût & effort relatifs | Faible | Élevé |
| Exposition aux violations | Transférée au vault | Vous portez le risque |
Comment la tokenisation vous fait passer de D à A
Trois étapes sortent les données de carte de votre environnement et vous qualifient pour le questionnaire plus simple.
La carte est collectée par nous
Les données de carte sont capturées directement dans notre vault certifié PCI DSS Level 1 — sur votre site, par téléphone ou via API — jamais sur vos serveurs.
Vous recevez un token
Vos systèmes ne stockent qu'un token. Il n'y a aucun numéro de carte à protéger, scanner ou auditer dans votre environnement.
Vous êtes éligible à SAQ A
Les données de carte étant entièrement hors du périmètre, l'essentiel de PCI DSS ne s'applique plus à vous. Le questionnaire se réduit en conséquence.
SAQ A vs SAQ D, réponses
01 Quelle est la différence entre SAQ A et SAQ D ?
SAQ A est destiné aux marchands qui externalisent entièrement la gestion des données de carte, de sorte que celles-ci ne touchent jamais leurs systèmes — environ 30 exigences. SAQ D est destiné aux marchands qui stockent, traitent ou transmettent des données de carte et couvre l'intégralité de PCI DSS — environ 300 exigences.
02 Puis-je passer de SAQ D à SAQ A ?
Oui. Si vous cessez de détenir des données de carte et utilisez un vault externe certifié PCI DSS Level 1 qui les tokenise, les données de carte quittent votre environnement. La plupart des marchands sont alors éligibles à SAQ A.
03 Quel SAQ est moins cher à maintenir ?
SAQ A, et de loin. Avec environ un dixième des exigences et aucun environnement de données du porteur de carte à auditer, il réduit les coûts d'évaluation, d'infrastructure, de scan et de personnel.
Atteignez SAQ A et maintenez ce niveau
Transférez les données de carte dans notre vault certifié et réduisez votre périmètre PCI au minimum.