Publié le 31 juillet 2019 par Alan Gouveia – 3 min de lecture
Quel SAQ PCI ai-je besoin ?
Lequel des neuf questionnaires d’auto-évaluation (SAQ) de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) votre organisation doit remplir et soumettre dépend de plusieurs facteurs :
- Comment vous traitez les transactions par carte de crédit. Confiez-vous le traitement de ces transactions à un tiers ou le faites-vous vous-même ?
- Quel type de machine ou de terminal de traitement des paiements vous utilisez pour les transactions par carte de crédit et de débit.
- Si vous acceptez les paiements en magasin des clients avec une carte physique ou une application de paiement par téléphone, ou si vous êtes strictement réservé au commerce électronique.
Qu’est-ce qu’un SAQ, et à quoi sert-il ?
Les questionnaires d’auto-évaluation (SAQ) PCI DSS sont des outils fournis par le PCI Security Standards Council (PCI SSC) pour aider les commerçants et les prestataires de services traitant des cartes de paiement à mesurer leur propre conformité à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).
Les organisations qui ne sont pas tenues de se procurer un audit sur site par un évaluateur de sécurité qualifié (QSA) ou un évaluateur de sécurité interne et le rapport de conformité (ROC) qui en résulte sont autorisées, à la place, à s’auto-évaluer. Les SAQ contiennent deux composantes :
- Des questions en corrélation avec les exigences PCI DSS
- Une attestation de conformité (AOC), à déposer auprès de votre banque acquéreuse
Quel SAQ convient à mon organisation ?
Le PCI SSC a développé huit SAQ pour les commerçants et un pour les prestataires de services. Les types de SAQ PCI DSS 3.2.1 et leurs utilisateurs prévus sont :
- SaQ A : Pour les commerçants faisant des affaires à distance (e-commerce, vente par correspondance, commande par téléphone) qui ont externalisé le traitement et le stockage des données de cartes de paiement à un tiers validé par PCI DSS, et qui ne stockent pas les données de cartes ou de titulaires de cartes sous quelque forme que ce soit.
- SAQ A-EP : Pour les commerçants de commerce électronique qui ont externalisé le traitement et le stockage des données de carte de crédit à un tiers validé PCI DSS, mais qui maintiennent également un site web qui ne reçoit pas de données de titulaire de carte mais qui pourrait affecter la sécurité d’une transaction de paiement.
- SAQ B : Pour les commerçants effectuant des ventes en personne à l’aide de machines à imprimer les cartes de crédit ou de terminaux autonomes à accès commuté qui ne stockent pas les données des titulaires de cartes sous forme électronique.
- SAQ B-IP : Pour les commerçants qui effectuent des ventes en personne en utilisant uniquement des terminaux de paiement par carte autonomes, approuvés par le programme PIN Transaction Security (PTS), avec une connexion par protocole Internet (IP) au processeur de paiement, et qui ne stockent pas de données électroniques sur les titulaires de cartes.
- SAQ C-VT : Pour les commerçants qui saisissent manuellement une seule transaction à la fois via un clavier dans une solution de terminal de paiement virtuel basée sur Internet qui est fournie et hébergée par un fournisseur de services tiers validé par PCI DSS. Les commerçants SAQ C-VT ne peuvent pas stocker les données électroniques des titulaires de cartes.
- SAQ C : Pour les commerçants réalisant des ventes en personne en utilisant des systèmes d’application de paiement connectés à Internet. Les commerçants SAQ-C ne stockent pas les données électroniques des titulaires de cartes.
- SAQ P2PE : Pour les commerçants utilisant uniquement des terminaux de paiement matériels inclus dans et gérés via une solution de chiffrement point à point (P2PE) validée et répertoriée par PCI SSC, sans stockage de données électroniques des titulaires de cartes. Non applicable aux canaux de commerce électronique.
- SQA D pour les commerçants : Pour tous les commerçants non inclus dans les descriptions des types de SAQ ci-dessus.
- Saq D pour les fournisseurs de services : Pour tous les prestataires de services définis par une marque de paiement comme étant éligibles pour remplir un SAQ.
Si votre organisation traite, stocke ou transmet des informations sur les cartes de paiement et que vous n’êtes pas tenu d’obtenir un audit sur site et un ROC, vous devez remplir un SAQ et le soumettre avec un AOC à votre banque acquéreuse.
Comment gagner du temps et de l’argent sur votre SAQ
Les formulaires SAQ de PCI DSS peuvent être longs et laborieux à remplir, ce qui coûte à votre organisation du temps, de l’argent et d’autres ressources précieuses. C’est particulièrement vrai si vous utilisez des feuilles de calcul pour suivre vos efforts de conformité PCI, et si vous rassemblez de la documentation provenant de sources disparates telles que des comptes de messagerie, de la correspondance par courrier, des documents sur le site Web et des messages texte.
Pour faciliter la tâche d’auto-évaluation et économiser du temps et de l’argent, pourquoi ne pas essayer un logiciel de conformité ? ZenGRC peut, entre autres, :
- vous aider à minimiser la portée de votre environnement de données des titulaires de cartes (CDE)
- sonder vos systèmes et réseaux pour voir où vous êtes conforme à PCI DSS et où vous ne l’êtes pas
- vous dire ce que vous devez faire pour atteindre la conformité
- fournir un utilisateur-.convivial de votre posture de conformité PCI sur notre tableau de bord » source unique de vérité »
- Collecter et conserver les documents de piste d’audit dont vous avez besoin
- Surveiller et contrôler la conformité de vos fournisseurs de services tiers
- Surveiller en permanence votre conformité PCI DSS en cours
Ne serait-il pas temps de vous débarrasser de vos confuses, feuilles de calcul démodées pour une solution de conformité complète et facile à utiliser ? Appelez un expert Reciprocity dès aujourd’hui, et faites votre premier pas sur le chemin sans souci de la conformité PCI DSS – à la manière Zen.