SAQ A (Self-Assessment Questionnaire A) jest najprostszym kwestionariuszem samooceny PCI DSS – zawiera zaledwie 22 pytania zamiast 329 dla SAQ D. Jest przeznaczony dla sprzedawców e-commerce, którzy całkowicie outsourcowali przetwarzanie kart do certyfikowanego service providera. Zakwalifikowanie się do SAQ A jest strategicznym celem dla każdego sprzedawcy online – i jest osiągalne dzięki tokenizacji.
Co to jest SAQ A
SAQ A (Self-Assessment Questionnaire A) to kwestionariusz samooceny PCI DSS dla sprzedawców z ograniczonym zakresem CDE. Dotyczy wyłącznie sprzedawców e-commerce (card-not-present), którzy: całkowicie delegowali przetwarzanie kart do certyfikowanego service providera PCI DSS, nie przechowują, nie przetwarzają i nie przesyłają danych kart we własnych środowiskach, używają formularza płatności hostowanego przez certyfikowanego dostawcę (iFrame, redirect lub JavaScript serwowany przez dostawcę).
Warunki kwalifikowalności do SAQ A
Aby zakwalifikować się do SAQ A, sprzedawca musi spełnić WSZYSTKIE poniższe warunki: wyłącznie transakcje card-not-present (e-commerce lub MOTO), całe przetwarzanie kart outsourcowane do certyfikowanego PCI DSS service providera, formularz płatności hostowany przez service providera (iFrame lub redirect), bez możliwości przechwycenia transmisji danych karty przez sprzedawcę, strona płatności nie wczytuje skryptów z niezaufanych źródeł, pełne HTTPS na wszystkich stronach klienta. Brak spełnienia któregokolwiek warunku wyklucza SAQ A.
SAQ A vs. SAQ A-EP: kluczowe różnice
SAQ A-EP (Extended Payments) jest dla sprzedawców e-commerce, którzy używają JavaScript serwowanego przez ich własny serwer do zbierania danych karty (nie bezpośrednio przez iFrame service providera). SAQ A-EP ma więcej pytań i wymagań niż SAQ A, w tym wymagania dotyczące bezpieczeństwa serwera, na którym hostowany jest skrypt. Hosted fields PCI Proxy EU (iFrame) kwalifikują do SAQ A – nie SAQ A-EP – ponieważ skrypt i pola są hostowane bezpośrednio przez PCI Proxy EU, nie przez serwer sprzedawcy.
Wymagania 6.4.3 i SAQ A: co to oznacza w praktyce
PCI DSS v4.0 Wymaganie 6.4.3 dotyczy zarządzania skryptami na stronach płatności. Nawet dla sprzedawców kwalifikujących się do SAQ A, Wymaganie 6.4.3 wymaga: posiadania udokumentowanej listy wszystkich skryptów ładowanych na stronach płatności, uzasadnienia biznesowego dla każdego skryptu, mechanizmu wykrywania nieautoryzowanych zmian skryptów. W przypadku hosted fields PCI Proxy EU, formularz płatności jest w iFrame na domenie PCI Proxy EU – skrypty zewnętrzne załadowane na Twojej stronie nie mogą przechwycić danych kart w iFrame.
Jak wdrożyć tokenizację PCI Proxy EU, aby zakwalifikować się do SAQ A
Kroki do kwalifikacji SAQ A przez tokenizację PCI Proxy EU: integracja hosted fields PCI Proxy EU jako formularza płatności (usuń własne pola input karty z Twojej strony), weryfikacja, że żaden skrypt zewnętrzny nie może przechwytywać danych z iFrame, upewnienie się, że cała strona jest serwowana przez HTTPS (TLS 1.2+), przegląd wszystkich skryptów ładowanych na stronach płatności (dokumentacja dla Wymagania 6.4.3), uzupełnienie SAQ A z odpowiedziami 'Tak' dla wszystkich 22 pytań, przesłanie SAQ A do agenta rozliczeniowego. Przy wsparciu PCI Proxy EU, cały proces trwa zazwyczaj 2-4 tygodnie.
Zakwalifikuj się do SAQ A z tokenizacją PCI Proxy EU
Hosted fields PCI Proxy EU to najprostsza ścieżka do SAQ A dla Twojego sklepu e-commerce. Skontaktuj się z nami.
Porozmawiaj z ekspertem