La autoavaliação PCI DSS es el instrumento de validação de la conformidade mais utilizado por los comerciantes de Nivel 3 e 4. El cuestionario de autoavaliação (SAQ) existe en varias variantes, cada una diseñada para un tipo específico de arquitectura de pago. Elegir el SAQ equivocado o completar el mais oneroso quando no es necesario são errores habituales que incrementan el custo e la complejidade de la conformidade sin ningún beneficio. Comprender qué SAQ se aplica a su situação es el primer paso para una conformidade eficiente.
Qué es la autoavaliação PCI DSS e quando se utiliza
El SAQ (Self-Assessment Questionnaire) es un documento de autoavaliação publicado por el PCI Security Standards Council que los comerciantes podem completar sin la intervenção de un QSA certificado. Está disponible para los comerciantes de Nivel 3 e 4 y, en ciertos casos, para los de Nivel 2 que lo soliciten a su circuito. El proceso de autoavaliação inclui la cumplimentação del cuestionario y, para algunos tipos de SAQ, la realização de escaneos de vulnerabilidades trimestrales por parte de un ASV (Approved Scanning Vendor) aprobado por el PCI SSC.
La autoavaliação no substitui a una auditoría formal en todos los contextos. Los comerciantes de Nivel 1, los que têm los volúmenes de transações mais altos, sempre devem someterse a una auditoría llevada a cabo por un QSA e producir un ROC (Report on Compliance). Para los comerciantes de Nivel 2, el requisito depende del circuito: Visa Europa, por ejemplo, exige un ROC para todos los comerciantes de Nivel 2, enquanto que otros circuitos aceptan el SAQ. Antes de proceder con la autoavaliação, es necesario verificar con el adquirente qué método de validação se acepta para su nivel.
Qué SAQ deve completar: la tabla de referência
El SAQ a completar depende enteramente de la arquitectura de aceptação de pagos. El SAQ A es el mais simple, con menos de 50 controles: se aplica a los comerciantes de comércio electrónico que utilizan exclusivamente pagos hospedados por terceros (página de pago hospedada o iframe) e a los comerciantes que aceptan cartões apenas mediante terminales certificados fornecidos por terceros, sin acceso a los dados de cartão. El SAQ A-EP, con aproximadamente 190 controles, se aplica a los comerciantes de comércio electrónico que utilizan JavaScript de terceros para recoger dados de cartão directamente en el navegador del cliente. El SAQ B se aplica a los comerciantes con terminales POS no conectados a internet o por telefone. El SAQ B-IP es para terminales IP conectados a internet mas sin armazenamento de dados de cartão.
El SAQ C se refiere a comerciantes con sistemas de caja conectados a internet. El SAQ C-VT es para comerciantes que introducen manualmente los dados de cartão en un terminal virtual hospedado por un fornecedor. El SAQ D es el mais complexo, con mais de 200 controles, e se aplica a todos los comerciantes que no entran en las categorías anteriores, incluidos los que almacenan dados de cartão en sus propios sistemas o que utilizan API para transmitir los dados de cartão a las pasarelas. El SAQ P2PE se aplica a los comerciantes que utilizan soluciones de encriptação punto a punto certificadas por el PCI SSC: es muito simple, con aproximadamente 35 controles, porque la proteção es gestionada íntegramente por el fornecedor de la solução P2PE.
Como reduzir el SAQ con la tokenização
El camino mais común e directo para pasar del SAQ D al SAQ A es la tokenização con página de pago hospedada. Un comerciante que hoy utiliza su propia página de checkout con recogida directa de dados de cartão vía API (SAQ D) pode migrar a un checkout hospedado por el fornecedor de tokenização. En este escenario, el utilizador introduce los dados de cartão en una página gestionada por el fornecedor certificado, este devuelve un token al comerciante, e el comerciante nunca ve el PAN. La transição reduz el perímetro del comerciante de un CDE completo a ningún CDE, calificándolo para el SAQ A.
El poupança operativo de esta migração es significativo. Un comerciante SAQ D deve realizar escaneos de vulnerabilidades trimestrales de sus propios servidores, testes de penetração anuales, gerir las políticas de control de acceso para el CDE, formar al personal en todos los requisitos PCI DSS aplicables e documentar decenas de controles. Con el SAQ A, la mayoría de estas obrigações desaparece porque el perímetro del comerciante no inclui sistemas que toquen dados de cartão. El custo anual de la conformidade para un comerciante SAQ A se estima en menos del 20% del custo equivalente para un comerciante SAQ D con el mismo volumen de transações.
Preguntas frecuentes
La autoavaliação substitui a una auditoría formal?
Para los comerciantes de Nivel 3 e 4, sí: el SAQ es el instrumento de validação aceptado por los adquirentes. Para los comerciantes de Nivel 1 e muchos de Nivel 2, es necesaria una auditoría formal llevada a cabo por un QSA con producção de un ROC. Si tem dudas sobre su nivel o sobre qué método de validação acepta su adquirente, verifíquelo directamente con él antes de proceder con la autoavaliação.
Puedo completar el SAQ yo apenas o necesito un QSA?
El SAQ pode completarse de forma autónoma por el comerciante sin la intervenção de un QSA. El PCI SSC proporciona las plantillas gratuitamente en su site web, con instrucciones detalladas para su cumplimentação. Para arquitecturas complejas o en caso de dudas sobre la clasificação del SAQ correcto, un consultor o el suporte del fornecedor de serviços de pago pode reduzir el riesgo de errores. Un SAQ completado incorrectamente pode ser invalidado por el adquirente en la fase de revisión.
Cuántas veces al año debo completar el SAQ?
El SAQ deve completarse una vez al año. Algunos adquirentes exigen la presentação del SAQ actualizado con motivo de la renovação del contrato de adquirencia o de forma anual fija. Para algunos tipos de SAQ (como el SAQ A-EP e el SAQ D), também se exigem escaneos de vulnerabilidades trimestrales por parte de un ASV acreditado. Verifique con su adquirente la frecuencia e las modalidades de presentação exigidas para su contrato.
Del SAQ D al SAQ A con la tokenização: el camino mais rápido para simplificar la autoavaliação PCI DSS anual. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos