Vergelijking

SAQ A vs SAQ D: welke heeft u nodig?

Q: Kan ik overstappen van SAQ D naar SAQ A?

Ja. Als u stopt met het bewaren van kaartgegevens en in plaats daarvan een externe PCI DSS Level 1 vault gebruikt die ze tokeniseert, verlaten kaartgegevens uw omgeving. De meeste handelaars komen dan in aanmerking voor SAQ A, waardoor de vereisten waaraan zij moeten voldoen drastisch afnemen.

Q: Welke SAQ is goedkoper te onderhouden?

SAQ A is veruit goedkoper. Met ongeveer een tiende van de vereisten van SAQ D en geen kaarthoudersdataomgeving om te bouwen of te auditen, bespaart u op beoordelings-, infrastructuur-, scan- en personeelskosten.

De vragenlijst die u invult bepaalt hoeveel PCI DSS-werk u op u neemt. Het verschil tussen SAQ A en SAQ D is ruwweg 30 vereisten versus 300 — en het draait om één ding: of kaartgegevens uw systemen raken.

Wat kost het? Hoe u in aanmerking komt voor SAQ A

~30

Vereisten in SAQ A

~300

Vereisten in SAQ D

Kaartgegevens in scope (SAQ A)

Tot 95%

Scopereductie met tokens

Naast elkaar

SAQ A vs SAQ D, regel voor regel

Hetzelfde bedrijf ziet er compleet anders uit afhankelijk van of het kaartgegevens bewaart.

Dimensie	SAQ A EENVOUDIGST	SAQ D
Voor wie het is	Volledig uitbestede kaartverwerking	U bewaart / verwerkt / verzendt kaartgegevens
Circa vereisten	~30	~300
Kaartgegevens in uw systemen	Geen	Ja
Kaarthoudersdataomgeving	Niet vereist	Bouwen, segmenteren & onderhouden
ASV-scans & penetratietests	Minimaal	Volledige scope
Relatieve kosten & inspanning	Laag	Hoog
Blootstelling bij inbreuken	Overgedragen aan vault	U draagt het risico

Het pad naar SAQ A

Hoe tokenisatie u van D naar A brengt

Drie stappen halen kaartgegevens uit uw omgeving en kwalificeren u voor de eenvoudigere vragenlijst.

Kaart ontvangen door ons

Kaartgegevens worden rechtstreeks in onze PCI DSS Level 1 vault vastgelegd — op uw site, telefonisch of via API — nooit op uw servers.

U ontvangt een token

Uw systemen bewaren alleen een token. Er is geen kaartnummer om te beschermen, te scannen of te auditeren in uw omgeving.

U komt in aanmerking voor SAQ A

Met kaartgegevens volledig buiten scope is het grootste deel van PCI DSS niet langer op u van toepassing. De vragenlijst krimpt dienovereenkomstig.

FAQ

SAQ A vs SAQ D, beantwoord

01 Wat is het verschil tussen SAQ A en SAQ D?

SAQ A is voor handelaars die de verwerking van kaarthouderdata volledig uitbesteden, zodat kaartgegevens hun systemen nooit bereiken — circa 30 vereisten. SAQ D is voor handelaars die kaartgegevens opslaan, verwerken of verzenden en dekt de volledige PCI DSS — circa 300 vereisten.

02 Kan ik overstappen van SAQ D naar SAQ A?

Ja. Als u stopt met het bewaren van kaartgegevens en een externe PCI DSS Level 1 vault gebruikt die ze tokeniseert, verlaten kaartgegevens uw omgeving. De meeste handelaars komen dan in aanmerking voor SAQ A.

03 Welke SAQ is goedkoper te onderhouden?

SAQ A, met grote voorsprong. Met ongeveer een tiende van de vereisten en geen kaarthoudersdataomgeving om te auditeren, bespaart u op beoordelings-, infrastructuur-, scan- en personeelskosten.

Bereik SAQ A en blijf er

Verplaats kaartgegevens naar onze gecertificeerde vault en verklein uw PCI-scope tot het minimum.

Neem contact op PCI DSS-naleving