Samoocena PCI DSS (Self-Assessment Questionnaire, SAQ) jest corocznym obowiązkiem dla większości sprzedawców Level 2, 3 i 4. Wybór właściwego SAQ determinuje zakres wymagań – od 22 pytań dla SAQ A do ponad 300 dla SAQ D. Zrozumienie, który SAQ jest dla Ciebie właściwy i jak architektura systemu wpływa na ten wybór, ma bezpośrednie przełożenie na koszty i czas compliance.
Przegląd typów SAQ: A, B, B-IP, C, C-VT, D
SAQ A (22 pytania): sprzedawcy e-commerce z całkowitym outsourcingiem kart, SAQ A-EP (191 pytań): sprzedawcy e-commerce z częściowym outsourcingiem (własne skrypty zbierania danych), SAQ B: sprzedawcy z imprintem lub standalone MOTO terminale, SAQ B-IP: sprzedawcy z terminalami PCI-PTS połączonymi z IP, SAQ C (160 pytań): sprzedawcy z systemem POS połączonym z internetem, SAQ C-VT (65 pytań): sprzedawcy MOTO z wirtualnym terminalem przez przeglądarkę, SAQ D merchants (329 pytań): wszyscy pozostali sprzedawcy nie kwalifikujący się do wyżej wymienionych.
Jak wybrać właściwy SAQ dla Twojej organizacji
Wybór SAQ zależy od: kanałów płatności (e-commerce, POS, MOTO, mieszane), modelu integracji z PSP (hosted page, iFrame, direct API, terminal POS), przechowywania danych kart (tak/nie, gdzie, jak zaszyfrowane), połączeń sieciowych systemu POS z internetem. Decisionmaking tree: 1. Wyłącznie e-commerce z pełnym outsourcingiem do certyfikowanego dostawcy? → SAQ A. 2. E-commerce z własnym JavaScript zbierającym dane? → SAQ A-EP. 3. Wyłącznie terminal POS bez sieci? → SAQ B. 4. POS z połączeniem IP? → SAQ B-IP lub C.
SAQ A: warunki i pułapki
SAQ A jest najkorzystniejszy, ale ma ścisłe warunki kwalifikowalności. Pułapki, które mogą zdyskwalifikować z SAQ A: strona płatności wczytuje JavaScript z Twojego serwera (nie tylko z serwera dostawcy), masz skrypty analityczne lub remarketingowe ładowane na stronie checkout (wymagają dokumentacji Wymagania 6.4.3), Twoja strona nie jest w pełni HTTPS (choć to rzadki problem dziś), przechowujesz jakiekolwiek dane kart w Twoim środowisku. Weryfikacja kwalifikowalności przed wysłaniem SAQ A jest krytyczna – błędna klasyfikacja może prowadzić do problemów przy audycie.
Wypełnianie SAQ: najczęstsze błędy
Typowe błędy przy wypełnianiu SAQ: odpowiedź 'Tak' bez dowodów (SAQ wymaga nie tylko deklaracji, ale i możliwości udowodnienia compliance), pominięcie wymagań dotyczących podmiotów trzecich (Wymaganie 12.8 – dokumentacja relacji z PSP i innymi dostawcami), brak podpisu upoważnionej osoby i daty, przesłanie przestarzałego SAQ (musi odpowiadać aktualnej wersji PCI DSS – v4.0 od 2024), niekompletna dokumentacja polityk bezpieczeństwa (wymagana dla większości SAQ).
Jak tokenizacja upraszcza samoocenę
Sprzedawca używający hosted fields PCI Proxy EU może kwalifikować się do SAQ A. Porównanie pracy: SAQ D wymaga odpowiedzi na 329 pytań i dokumentowania setek kontroli technicznych i organizacyjnych, SAQ A wymaga odpowiedzi na 22 pytania, większość z których to potwierdzenie, że przetwarzanie kart jest outsourcowane do certyfikowanego dostawcy. Przy wsparciu dokumentacyjnym PCI Proxy EU (gotowe polityki, szablony SAQ), uzupełnienie SAQ A zajmuje 2-8 godzin pracy dla typowego sprzedawcy e-commerce.
Kwalifikuj się do SAQ A z PCI Proxy EU
PCI Proxy EU dostarcza dokumentację i szablony SAQ A dla sprzedawców korzystających z tokenizacji.
Porozmawiaj z ekspertem