El PCI DSS SAQ A es el cuestionario de autoavaliação mais simple previsto por el PCI DSS: menos de 30 preguntas frente a las mais de 300 del SAQ D. Comprender quem pode completarlo e como llegar a ese punto es estratégico para cualquier comerciante que quiera reduzir la carga de conformidade sin renunciar a la segurança. La distinção entre los diferentes tipos de SAQ depende de como e onde se procesan los dados de cartão.
Los tipos de SAQ PCI DSS: de A a D, qué cambia
El PCI Security Standards Council ha definido varios tipos de SAQ (Self-Assessment Questionnaire) para adaptar los trámites al perfil de riesgo real del comerciante. No todos los comerciantes têm el mismo nivel de exposição: un comércio electrónico que utiliza una página de pago hospedada es muito diferente de una empresa que processa números de cartão por telefone e los armazena en una base de dados interna.
Los principales tipos são: SAQ A para comerciantes card-not-present que delegan completamente el tratamiento de los dados de cartão a terceros certificados; SAQ A-EP para comércio electrónico con página de pago parcialmente delegada; SAQ B para terminales físicos no conectados a internet; SAQ C para sistemas POS conectados; SAQ D para todos los demás comerciantes, incluidos los que almacenan PAN o gerem el checkout directamente. El SAQ D es el mais completo e oneroso.
SAQ A frente a SAQ D: la diferencia que vale horas de trabajo
La diferencia entre el SAQ A e el SAQ D no es apenas el número de preguntas. El SAQ D exige documentar políticas de segurança, controles de acceso, procedimientos de registro, gestão de vulnerabilidades, planes de respuesta a incidentes e mucho mais. Un comerciante medio invierte semanas en recopilar testes e completarlo correctamente, a menudo con el apoyo de un consultor externo.
El SAQ A, por el contrario, se centra en un perímetro mínimo: verifica que el comerciante no conserve, procese ni transmita dados de cartão en sus propios sistemas e que el fornecedor de pago utilizado esté certificado PCI DSS. Con el SAQ A, un comerciante pode gerir su propia autoavaliação en pocas horas, sin consultoría especializada e sin necesidade de documentar toda la infraestrutura informática.
Como pasar del SAQ D al SAQ A con la tokenização
El requisito previo para el SAQ A es que ningún dato de cartão transite ni se conserve en los sistemas del comerciante. La tokenização resolve este problema de raíz: el checkout envía los dados de cartão directamente al vault certificado de PCI Proxy EU através de una página de pago hospedada o un SDK client-side. El comerciante recibe únicamente un token opaco, que no tem valor fuera del vault.
Este cambio arquitectónico tem un impacto directo en el tipo de SAQ aplicable. Un comerciante que hoy completa un SAQ D porque su CRM o su ERP recibe los PAN pode migrar al SAQ A simplemente adoptando una solução de tokenização certificada. El perímetro se reduz, la documentação se simplifica e el custo total de la conformidade disminuye de forma significativa.
Preguntas frecuentes
Cuántas preguntas tem el SAQ A?
El SAQ A en la versión PCI DSS v4.0 contiene aproximadamente 22 requisitos verificables, muchos de los cuales exigem únicamente confirmar que el tratamiento de dados está delegado a un fornecedor certificado. El SAQ D, en la misma versión, supera las 300 preguntas con solicitudes de testes documentales para cada una.
El SAQ A vale para todos los comerciantes de comércio electrónico?
No. El SAQ A apenas es válido para comerciantes card-not-present que nunca tocan los dados de cartão en sus propios servidores. Si el checkout está totalmente hospedado por el fornecedor de pago certificado e el comerciante nunca ve un PAN, el SAQ A es aplicable. Si, en cambio, el comerciante gere embora sea una parte del formulário de pago, se recae en el SAQ A-EP o en el SAQ D.
Con PCI Proxy EU, qué SAQ debo completar?
En la configuração estándar, onde el checkout utiliza la página hospedada o el SDK client-side de PCI Proxy EU sin que los dados de cartão pasen por os seus servidores, pode completar el SAQ A. Su adquirente o PSP pode confirmar esto durante el proceso de incorporação.
Quiere pasar del SAQ D al SAQ A reduciendo drásticamente su carga de conformidade? Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.
Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.
Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.