Di quale PCI SAQ ho bisogno?

by: adminPosted on:

Pubblicato il 31 luglio 2019 da Alan Gouveia – 3 min read

Di quale SAQ PCI ho bisogno?

Quale dei nove questionari di autovalutazione (SAQ) del Payment Card Industry Data Security Standard (PCI DSS) la tua organizzazione deve compilare e presentare dipende da diversi fattori:

  • Come tratti le transazioni con carta di credito. Affidate l’elaborazione di queste transazioni a terzi o lo fate voi stessi?
  • Che tipo di macchina o terminale di elaborazione dei pagamenti usate per le transazioni con carte di credito e di debito.
  • Se accettate pagamenti in negozio da clienti con una carta fisica o un’applicazione phone-pay, o se siete solo e-commerce.

Cos’è una SAQ e a cosa serve?

I questionari di autovalutazione PCI DSS (SAQ) sono strumenti forniti dal PCI Security Standards Council (PCI SSC) per aiutare i commercianti e i fornitori di servizi che elaborano carte di pagamento a misurare la propria conformità PCI Questionari di autovalutazione (SAQ) del Payment Card Industry Data Security Standard (PCI DSS).

Le organizzazioni che non sono tenute a procurarsi un audit in loco da parte di un Qualified Security Assessor (QSA) o Internal Security Assessor e il risultante Report on Compliance (ROC) possono invece autovalutarsi. Gli SAQ contengono due componenti:

  • Domande correlate ai requisiti PCI DSS
  • Un attestato di conformità (AOC), da presentare alla banca acquirente

Q quale SAQ è adatto alla mia organizzazione?

Il PCI SSC ha sviluppato otto SAQ per i commercianti e uno per i fornitori di servizi. I tipi di SAQ PCI DSS 3.2.1 e i relativi utenti sono:

  • SAQ A: Per commercianti che operano in remoto (e-commerce, ordini postali, ordini telefonici) che hanno esternalizzato l’elaborazione e la memorizzazione dei dati delle carte di pagamento a una terza parte convalidata PCI DSS e non memorizzano dati di carte o titolari di carta in alcun modo.
  • SAQ A-EP: Per i commercianti di e-commerce che hanno esternalizzato l’elaborazione e l’archiviazione dei dati delle carte di credito a una terza parte convalidata PCI DSS, ma che mantengono anche un sito web che non riceve i dati dei titolari di carta ma che potrebbe influire sulla sicurezza di una transazione di pagamento.
  • SAQ B: Per i commercianti che effettuano vendite di persona utilizzando macchine per l’impronta della carta di credito o terminali autonomi che non memorizzano elettronicamente i dati del titolare della carta.
  • SAQ B-IP: Per gli esercenti che effettuano vendite di persona utilizzando solo terminali di pagamento con carta approvati PTS (PIN Transaction Security) autonomi con una connessione IP (Internet Protocol) al processore di pagamento e che non memorizzano dati elettronici del titolare della carta.
  • SAQ C-VT: Per gli esercenti che inseriscono manualmente una singola transazione alla volta tramite una tastiera in una soluzione di terminale di pagamento virtuale basata su Internet, fornita e ospitata da un fornitore di servizi di terze parti convalidato PCI DSS. Gli esercenti SAQ C-VT non possono memorizzare dati elettronici dei titolari di carta.
  • SAQ C: Per gli esercenti che effettuano vendite di persona utilizzando sistemi di applicazioni di pagamento collegati a Internet. Gli esercenti SAQ-C non memorizzano i dati dei titolari di carta elettronica.
  • SAQ P2PE: Per gli esercenti che utilizzano solo terminali di pagamento hardware inclusi e gestiti tramite una soluzione P2PE (Point-to-Point Encryption) convalidata ed elencata da PCI SSC, senza memorizzazione dei dati dei titolari di carta elettronica. Non applicabile ai canali di e-commerce.
  • SAQ D per commercianti: Per tutti gli esercenti non inclusi nelle descrizioni dei tipi di SAQ precedenti.
  • SAQ D per i fornitori di servizi: Per tutti i fornitori di servizi definiti da un marchio di pagamento come idonei a completare un SAQ.

Se la vostra organizzazione elabora, archivia o trasmette informazioni sulle carte di pagamento e non siete tenuti a ottenere un audit in loco e un ROC, dovete completare un SAQ e presentarlo con un AOC alla vostra banca acquirente.

Come risparmiare tempo e denaro sul vostro SAQ

I moduli SAQ PCI DSS possono essere lunghi e laboriosi da compilare, costando alla vostra organizzazione tempo, denaro e altre risorse preziose. Questo è particolarmente vero se si utilizzano fogli di calcolo per tenere traccia degli sforzi di conformità PCI e si raccoglie la documentazione da fonti disparate, come account di posta elettronica, corrispondenza postale, materiali del sito web e messaggi di testo.

Per facilitare il compito di autovalutazione e risparmiare tempo e denaro, perché non provare un software di conformità? ZenGRC può, tra le altre cose:

  • Aiutarti a ridurre al minimo la portata del tuo ambiente dei dati dei titolari di carta (CDE)
  • Sonda i tuoi sistemi e le tue reti per vedere dove sei conforme a PCI DSS e dove non lo sei
  • Dirti cosa devi fare per raggiungere la conformità
  • Fornire una panoramica user-della tua posizione di conformità PCI sul nostro dashboard “single source of truth”
  • Raccogli e conserva i documenti audit-trail di cui hai bisogno
  • Rileva e monitora la conformità dei tuoi fornitori di servizi terzi
  • Controlla continuamente la tua conformità PCI DSS in corso

Non è ora di abbandonare i tuoi confusi, fogli di calcolo vecchio stile per una soluzione di conformità completa e facile da usare? Chiama oggi stesso un esperto di Reciprocity e fai il tuo primo passo sulla strada senza preoccupazioni verso la conformità PCI DSS: il modo Zen.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.