Který nástroj PCI SAQ potřebuji?

by: adminPosted on:

Vydáno 31. července 2019, Alan Gouveia – 3 min. čtení

Který dotazník PCI SAQ potřebuji?

Který z devíti dotazníků PCI DSS (Payment Card Industry Data Security Standard) musí vaše organizace vyplnit a odeslat, závisí na několika faktorech:

  • Jak zpracováváte transakce kreditními kartami. Zadáváte zpracování těchto transakcí třetí straně, nebo je zpracováváte sami?
  • Jaký typ zařízení nebo terminálu pro zpracování platebních transakcí kreditními a debetními kartami používáte.
  • Zda přijímáte platby v obchodě od zákazníků pomocí fyzické karty nebo aplikace pro placení přes telefon, nebo jste výhradně e-shop.

Co je to SAQ a k čemu slouží?

Dotazníky pro sebehodnocení PCI DSS (SAQ) jsou nástroje poskytované Radou pro bezpečnostní standardy PCI (PCI SSC), které pomáhají obchodníkům a poskytovatelům služeb zpracovávajícím platební karty měřit vlastní soulad se standardem PCI Dotazníky pro sebehodnocení PCI DSS (Payment Card Industry Data Security Standard).

Organizace, které nejsou povinny zajistit si audit na místě provedený kvalifikovaným bezpečnostním posuzovatelem (QSA) nebo interním bezpečnostním posuzovatelem a z něj vyplývající zprávu o shodě (ROC), mohou místo toho provést sebehodnocení. SAQ obsahují dvě složky:

  • Otázky korelující s požadavky PCI DSS
  • Osvědčení o shodě (AOC), které se podává vaší přijímající bance

Který SAQ je vhodný pro mou organizaci?

Sbor PCI SSC vytvořil osm SAQ pro obchodníky a jeden pro poskytovatele služeb. Typy PCI DSS 3.2.1 SAQ a jejich určení uživatelé jsou:

  • SAQ A: Pro obchodníky, kteří podnikají na dálku (elektronické obchodování, zásilkový obchod, telefonické objednávky), kteří zadali zpracování a ukládání údajů o platebních kartách externí třetí straně s ověřením PCI DSS a neukládají údaje o kartách nebo jejich držitelích v žádné formě.
  • SAQ A-EP: Pro obchodníky s elektronickým obchodem, kteří zadali zpracování a ukládání údajů o platebních kartách třetí straně s validací PCI DSS, ale zároveň provozují webové stránky, které nepřijímají údaje o držitelích karet, ale mohly by ovlivnit bezpečnost platební transakce.
  • SAQ B: Pro obchodníky, kteří provádějí osobní prodej pomocí strojů na otiskování kreditních karet nebo samostatných terminálů s vytáčeným přístupem, které neukládají údaje o držitelích karet elektronicky.
  • SAQ B-IP: Pro obchodníky, kteří provádějí prodej osobně s použitím pouze samostatných terminálů pro platby kartou schválených pro zabezpečení transakcí PIN (PTS) s připojením ke zpracovateli platebního protokolu (IP), které neukládají elektronické údaje o držiteli karty.
  • SAQ C-VT: Pro obchodníky, kteří manuálně zadávají jednu transakci najednou prostřednictvím klávesnice do internetového virtuálního platebního terminálu, který je poskytován a hostován poskytovatelem služeb třetí strany s certifikací PCI DSS. Obchodníci SAQ C-VT nesmějí ukládat elektronické údaje o držitelích karet.
  • SAQ C: Pro obchodníky provádějící osobní prodej pomocí systémů platebních aplikací připojených k internetu. Obchodníci SAQ-C neukládají elektronické údaje držitelů karet.
  • SAQ P2PE: Pro obchodníky, kteří používají pouze hardwarové platební terminály zahrnuté do ověřeného řešení P2PE (Point-to-Point Encryption) zařazeného na seznam PCI SSC a spravované prostřednictvím tohoto řešení, přičemž neukládají elektronická data držitelů karet. Neplatí pro kanály elektronického obchodování.
  • SAQ D pro obchodníky: Pro všechny obchodníky, kteří nejsou zahrnuti v popisech výše uvedených typů SAQ.
  • SAQ D pro poskytovatele služeb: Pro všechny poskytovatele služeb definované platební značkou jako způsobilé k vyplnění SAQ.

Pokud vaše organizace zpracovává, uchovává nebo přenáší informace o platebních kartách a není povinna získat audit na místě a ROC, musíte vyplnit SAQ a předložit jej spolu s AOC své acquiringové bance.

Jak ušetřit čas a peníze při vyplňování SAQ

Vyplňování formulářů SAQ standardu PCI DSS může být zdlouhavé a pracné, což vaši organizaci stojí čas, peníze a další cenné zdroje. To platí zejména v případě, že ke sledování svého úsilí o zajištění souladu s požadavky PCI používáte tabulky a shromažďujete dokumentaci z různorodých zdrojů, jako jsou e-mailové účty, poštovní korespondence, webové materiály a textové zprávy.

Chcete-li si usnadnit úkol sebehodnocení a ušetřit čas i peníze, proč nevyzkoušet software pro zajištění souladu s požadavky? ZenGRC dokáže mimo jiné:

  • Pomůže vám minimalizovat rozsah prostředí s údaji o držitelích karet (CDE)
  • Prozkoumá vaše systémy a sítě a zjistí, kde jste v souladu s PCI DSS a kde ne
  • Řekne vám, co musíte udělat, abyste dosáhli souladu
  • Poskytne vám uživatelský přehled o tom, co je třeba udělat.přátelský přehled o vašem stavu shody s PCI na našem „jediném zdroji pravdy“
  • Shromažďovat a uchovávat dokumenty auditní stopy, které potřebujete
  • Zjišťovat a monitorovat shodu vašich poskytovatelů služeb třetích stran
  • Průběžně monitorovat vaši průběžnou shodu s PCI DSS

Není na čase, abyste se zbavili zmatků, staromódní tabulky na kompletní, snadno použitelné řešení pro zajištění shody? Zavolejte ještě dnes odborníkovi společnosti Reciprocity a udělejte první krok na bezstarostné cestě ke shodě s PCI DSS – zenovým způsobem.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.