PCI DSS SAQ A: ki jogosult és hogyan kell kitölteni?

Az SAQ A (Self-Assessment Questionnaire A) a PCI DSS legkönnyebb és legrövidebb önértékelési kérdőíve: mindössze 22 kérdésből áll. Azok a kereskedők tölthetik ki, akik teljes egészében kiszervezték a kártyaadatok kezelését egy PCI-megfelelő harmadik félnek, és a saját rendszereikben soha nem kezelnek kártyaadatokat.

SAQ A jogosultsági feltételek

Az SAQ A-ra jogosult kereskedők az alábbi feltételeknek felelnek meg: kizárólag kártyás fizetés elfogadása (nem POS-terminál-alapú fizikai kereskedés); a kártyabevitel teljes egészében a PSP/PCI Proxy EU hosted fieldsen vagy redirect-megoldáson keresztül zajlik; a kereskedő rendszerei soha nem érintkeznek PAN-nal (sem tárolás, sem feldolgozás, sem továbbítás); a kereskedő meggyőződött arról, hogy a harmadik fél PCI DSS-megfelelő (AoC vagy tanúsítvány alapján); a kereskedő nem tárol SAD-ot (pl. CVV) tranzakció után. Ha mindezek teljesülnek, az SAQ A az alkalmazandó kérdőív.

SAQ A vs. SAQ A-EP: mi a különbség?

Az SAQ A-EP-re (A Electronically Protected) azon kereskedők jogosultak, akik: saját weboldalukon szerepelnek kártyaadat-beviteli oldalak (hosted fields-szel); de a kártyaadat soha nem kerül a kereskedő backendébe. Az SAQ A-EP lényegesen több kérdést tartalmaz (több mint 100), és magában foglalja a webalkalmazás-biztonsági kérdéseket is. Ha a kereskedő a kártyabeviteli oldalt a PSP-hez redirectálja (redirect modell), akkor SAQ A alkalmazható (nem A-EP).

SAQ A kitöltése tokenizációval

A PCI Proxy EU tokenizációs megoldást alkalmazó kereskedők tipikusan SAQ A-ra minősülnek, ha: a kereskedő weboldalán hosted fieldset vagy redirect-megoldást alkalmaznak (nem saját kártyabeviteli JavaScript); a backend kizárólag tokeneket kezel; a PCI Proxy EU AoC (Attestation of Compliance) dokumentuma rendelkezésre áll. Az SAQ A kitöltésekor a PCI Proxy EU-ról szóló 12. kérdéscsoportban (szervizszolgáltatói lista) hivatkozni kell a PCI Proxy EU AoC-jára.

---