SAQ A vs SAQ D: qual precisa você?
O questionário que preenche determina a carga de trabalho PCI DSS que assume. A diferença entre o SAQ A e o SAQ D é aproximadamente 30 requisitos versus 300 — e resume-se a uma coisa: se os dados de cartão passam pelos seus sistemas.
~30
Requisitos no SAQ A
~300
Requisitos no SAQ D
0
Dados de cartão no âmbito (SAQ A)
Até 95%
Redução de âmbito com tokens
SAQ A vs SAQ D, linha a linha
O mesmo negócio parece completamente diferente consoante guarde ou não dados de cartão.
| Dimensão | SAQ A MAIS SIMPLES | SAQ D |
|---|---|---|
| Para quem se destina | Tratamento de cartão totalmente externalizado | Armazena / processa / transmite dados de cartão |
| Requisitos aprox. | ~30 | ~300 |
| Dados de cartão nos seus sistemas | Nenhum | Sim |
| Ambiente de dados do titular do cartão | Não necessário | Construir, segmentar e manter |
| Análises ASV e testes de penetração | Mínimo | Âmbito total |
| Custo e esforço relativos | Baixo | Elevado |
| Exposição a violações | Transferida para o cofre | Assume o risco |
Como a tokenização o move do D para o A
Três passos retiram os dados de cartão do seu ambiente e qualificam-no para o questionário mais simples.
O cartão é recolhido por nós
Os dados de cartão são capturados diretamente para o nosso cofre PCI DSS Nível 1 — no seu site, por telefone ou via API — nunca nos seus servidores.
Recebe um token
Os seus sistemas armazenam apenas um token. Não há número de cartão para proteger, analisar ou auditar no seu ambiente.
Qualifica-se para o SAQ A
Com os dados de cartão totalmente fora do âmbito, a maior parte do PCI DSS deixa de se aplicar. O questionário reduz-se em conformidade.
SAQ A vs SAQ D, respondido
01 Qual é a diferença entre SAQ A e SAQ D?
O SAQ A destina-se a comerciantes que externalizam totalmente o tratamento de dados de cartão, pelo que os dados nunca tocam nos seus sistemas — cerca de 30 requisitos. O SAQ D destina-se a comerciantes que armazenam, processam ou transmitem dados de cartão e abrange o PCI DSS completo — cerca de 300 requisitos.
02 Posso passar do SAQ D para o SAQ A?
Sim. Se deixar de guardar dados de cartão e utilizar um cofre externo PCI DSS Nível 1 que os tokeniza, os dados de cartão saem do seu ambiente. A maioria dos comerciantes qualifica-se então para o SAQ A.
03 Qual o SAQ mais económico de manter?
O SAQ A, por larga margem. Com cerca de um décimo dos requisitos e sem ambiente de dados do titular do cartão para auditar, reduz os custos de avaliação, infraestrutura, análises e pessoal.
Chegue ao SAQ A e fique lá
Mova os dados de cartão para o nosso cofre certificado e reduza o seu âmbito PCI ao mínimo.