Melyik PCI SAQ-ra van szükségem?

by: adminPosted on:

Közzétéve July 31, 2019 by Alan Gouveia – 3 min olvasni

Melyik PCI SAQ-ra van szükségem?

Az, hogy az Ön szervezetének a PCI DSS (Payment Card Industry Data Security Standard) önértékelési kérdőívek (SAQ) közül melyiket kell kitöltenie és benyújtania, több tényezőtől függ:

  • Hogyan dolgozza fel a hitelkártyás tranzakciókat. Kiszervezi ezeket a tranzakciókat egy harmadik félnek a feldolgozásra, vagy saját maga végzi?
  • Milyen típusú fizetésfeldolgozó gépet vagy terminált használ a hitel- és betéti kártyás tranzakciókhoz.
  • Elfogadja-e a vásárlóktól az üzletben történő fizetést fizikai kártyával vagy telefonos fizetési alkalmazással, vagy szigorúan csak e-kereskedelmi tevékenységet folytat.

Mi az a SAQ, és mire való?

A PCI DSS önértékelési kérdőívek (SAQ-k) a PCI Biztonsági Szabványok Tanácsa (PCI SSC) által biztosított eszközök, amelyek segítségével a fizetési kártyákat feldolgozó kereskedők és szolgáltatók mérhetik saját PCI-megfelelésüket A Payment Card Industry Data Security Standard (PCI DSS) önértékelési kérdőívek (SAQ-k).

Azoknak a szervezeteknek, amelyek nem kötelesek egy minősített biztonsági értékelő (QSA) vagy belső biztonsági értékelő által végzett helyszíni auditot és az abból származó megfelelőségi jelentést (ROC) beszerezni, ehelyett engedélyezik az önértékelést. Az SAQ-k két összetevőt tartalmaznak:

  • A PCI DSS követelményeinek megfelelő kérdések
  • Megfelelőségi tanúsítvány (AOC), amelyet az elfogadó bankhoz kell benyújtani

Melyik SAQ a megfelelő az én szervezetem számára?

A PCI SSC nyolc kereskedői SAQ-t és egyet a szolgáltatók számára dolgozott ki. A PCI DSS 3.2.1 SAQ típusok és azok célzott felhasználói a következők:

  • SAQ A: Távolról üzletet folytató kereskedők (e-kereskedelem, csomagküldés, telefonos rendelés) számára, akik a fizetési kártyák adatainak feldolgozását és tárolását PCI DSS által hitelesített harmadik félhez szervezték ki, és semmilyen formában nem tárolnak kártya- vagy kártyabirtokosadatokat.
  • SAQ A-EP: Olyan e-kereskedelmi kereskedők számára, akik a bankkártyaadatok feldolgozását és tárolását PCI DSS-hitelesített harmadik félhez szervezték ki, de olyan weboldalt is fenntartanak, amely nem fogad kártyabirtokosi adatokat, de befolyásolhatja a fizetési tranzakció biztonságát.
  • SAQ B: Olyan kereskedők számára, akik személyesen végeznek értékesítést hitelkártya-nyomtató automaták vagy önálló, betárcsázó terminálok használatával, amelyek nem tárolják elektronikusan a kártyabirtokosok adatait.
  • SAQ B-IP: Kártyás kereskedők számára, akik személyesen, kizárólag önálló, PIN Transaction Security (PTS) által jóváhagyott kártyafizetési terminálokat használnak, amelyek internetprotokoll (IP) kapcsolattal rendelkeznek a fizetési processzorral, és nem tárolják elektronikusan a kártyabirtokos adatait.
  • SAQ C-VT: Olyan kereskedők számára, akik egyszerre csak egyetlen tranzakciót adnak be manuálisan, billentyűzeten keresztül egy internetalapú, virtuális fizetési terminál megoldásba, amelyet egy PCI DSS által hitelesített harmadik fél szolgáltató biztosít és hosztol. A SAQ C-VT kereskedők nem tárolhatnak elektronikus kártyabirtokosi adatokat.
  • SAQ C: Olyan kereskedők számára, akik személyesen, az internethez csatlakoztatott fizetési alkalmazási rendszerek segítségével végzik az értékesítést. SAQ-C kereskedők nem tárolhatnak elektronikus kártyabirtokosi adatokat.
  • SAQ P2PE: Olyan kereskedők számára, akik kizárólag olyan hardveres fizetési terminálokat használnak, amelyek validált, a PCI SSC listáján szereplő Point-to-Point Encryption (P2PE) megoldásban szerepelnek, és amelyek nem tárolnak elektronikus kártyabirtokosi adatokat. E-kereskedelmi csatornákra nem alkalmazható.
  • SAQ D kereskedők számára: A fenti SAQ-típusok leírásaiban nem szereplő összes kereskedő számára.
  • SAQ D a szolgáltatók számára: Minden olyan szolgáltató számára, akit a fizetési márka úgy határoz meg, hogy jogosult egy SAQ kitöltésére.

Ha az Ön szervezete feldolgozza, tárolja vagy továbbítja a fizetési kártyákkal kapcsolatos információkat, és nem köteles helyszíni auditot és ROC-t kérni, akkor ki kell töltenie egy SAQ-t, és azt egy AOC-val együtt be kell nyújtania az elfogadó bankjának.

Hogyan takaríthat meg időt és pénzt az SAQ-val

ACI DSS SAQ űrlapok kitöltése hosszadalmas és fáradságos lehet, ami a szervezetének időbe, pénzbe és más értékes erőforrásokba kerül. Ez különösen akkor igaz, ha táblázatkezelőket használ a PCI-megfelelőségi erőfeszítései nyomon követésére, és olyan szétszórt forrásokból gyűjti össze a dokumentációt, mint az e-mail fiókok, a postai levelezés, a weboldal anyagai és a szöveges üzenetek.

Hogy megkönnyítse az önértékelési feladatot, és időt és pénzt takarítson meg, miért nem próbálja ki a megfelelőségi szoftvert? A ZenGRC többek között a következőkre képes:

  • Segít minimalizálni a kártyabirtokosi adatkörnyezet (CDE) hatókörét
  • Megvizsgálja rendszereit és hálózatait, hogy lássa, hol felel meg a PCI DSS-nek, és hol nem
  • Megmondja, mit kell tennie a megfelelés eléréséhez
  • Felhasználói…felhasználóbarát áttekintést nyújt a PCI-megfelelőségi helyzetéről az “egyetlen igazságforrás” műszerfalunkon
  • Összegyűjti és megőrzi a szükséges ellenőrzési nyomvonal dokumentumokat
  • Felméri és nyomon követi a harmadik fél szolgáltatók megfelelőségét
  • Folyamatosan figyelemmel kíséri a PCI DSS folyamatos betartását

Nem lenne itt az ideje, hogy megszabaduljon a zavaros, régimódi táblázatokat egy teljes körű, könnyen használható megfelelőségi megoldásért? Hívjon még ma egy Reciprocity szakértőt, és tegye meg az első lépést a PCI DSS-megfelelőséghez vezető gondtalan úton – a Zen módján.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.