Którego PCI SAQ potrzebuję?

by: adminPosted on:

Published July 31, 2019 by Alan Gouveia – 3 min read

Which PCI SAQ Do I Need?

Który z dziewięciu kwestionariuszy samooceny Payment Card Industry Data Security Standard (PCI DSS) Państwa organizacja musi wypełnić i złożyć zależy od kilku czynników:

  • Jak przetwarzają Państwo transakcje kartami kredytowymi. Czy zlecasz te transakcje do przetworzenia stronie trzeciej, czy robisz to sam?
  • Jakiego typu maszyny lub terminala do przetwarzania płatności używasz do transakcji kartami kredytowymi i debetowymi.
  • Czy przyjmujesz płatności w sklepie od klientów posiadających fizyczną kartę lub aplikację do płatności przez telefon, czy też zajmujesz się wyłącznie handlem elektronicznym.

Co to jest SAQ i do czego służy?

Kwestionariusze samooceny PCI DSS (SAQ) są narzędziami udostępnianymi przez Radę Standardów Bezpieczeństwa PCI (PCI SSC) w celu ułatwienia akceptantom i dostawcom usług przetwarzania kart płatniczych pomiaru ich własnej zgodności z normą PCI Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQ).

Organizacje, które nie są zobowiązane do przeprowadzenia audytu na miejscu przez kwalifikowanego audytora bezpieczeństwa (QSA) lub wewnętrznego audytora bezpieczeństwa (ROC), mogą zamiast tego dokonać samooceny. SAQ zawierają dwa elementy:

  • Pytania korelujące z wymaganiami PCI DSS
  • Atest zgodności (AOC), który należy złożyć w banku przejmującym

Które SAQ jest odpowiednie dla mojej organizacji?

Stowarzyszenie PCI SSC opracowało osiem SAQ dla handlowców oraz jedno dla dostawców usług. Typy SAQ PCI DSS 3.2.1 oraz ich przeznaczenie to:

  • SAQ A: Dla akceptantów prowadzących działalność na odległość (e-commerce, sprzedaż wysyłkowa, zamówienia telefoniczne), którzy zlecili przetwarzanie i przechowywanie danych kart płatniczych stronie trzeciej posiadającej certyfikat PCI DSS i nie przechowują danych kart lub użytkowników kart w żadnej formie.
  • SAQ A-EP: Dla sprzedawców w handlu elektronicznym, którzy zlecili przetwarzanie i przechowywanie danych kart kredytowych stronie trzeciej posiadającej certyfikat PCI DSS, ale również prowadzą stronę internetową, która nie otrzymuje danych posiadaczy kart, ale może wpłynąć na bezpieczeństwo transakcji płatniczej.
  • SAQ B: Dla handlowców prowadzących sprzedaż osobiście przy użyciu maszyn do odciskania kart kredytowych lub samodzielnych terminali dial-out, które nie przechowują danych posiadaczy kart w formie elektronicznej.
  • SAQ B-IP: Dla handlowców prowadzących sprzedaż osobiście przy użyciu wyłącznie samodzielnych, zatwierdzonych przez PIN Transaction Security (PTS) terminali do płatności kartą z połączeniem z procesorem płatności za pomocą protokołu internetowego (IP), które nie przechowują elektronicznych danych posiadacza karty.
  • SAQ C-VT: Dla Akceptantów, którzy ręcznie wprowadzają pojedynczą transakcję za pomocą klawiatury do internetowego, wirtualnego terminala płatniczego, który jest dostarczany i obsługiwany przez zewnętrznego dostawcę usług zatwierdzonego przez PCI DSS. Akceptanci SAQ C-VT nie mogą przechowywać elektronicznych danych posiadaczy kart.
  • SAQ C: Dla Akceptantów prowadzących sprzedaż osobiście przy użyciu systemów aplikacji płatniczych podłączonych do Internetu. Akceptanci SAQ-C nie przechowują elektronicznych danych posiadaczy kart.
  • SAQ P2PE: Dla akceptantów korzystających wyłącznie ze sprzętowych terminali płatniczych w ramach i zarządzanych przez zatwierdzone, wpisane na listę PCI SSC rozwiązanie P2PE (Point-to-Point Encryption), bez przechowywania danych elektronicznych posiadaczy kart. Nie dotyczy kanałów e-commerce.
  • SAQ D dla Akceptantów: Dla wszystkich handlowców nieuwzględnionych w opisach dla powyższych typów SAQ.
  • SAQ D dla Dostawców Usług: Dla wszystkich dostawców usług zdefiniowanych przez markę płatniczą jako kwalifikujących się do wypełnienia SAQ.

Jeśli Państwa organizacja przetwarza, przechowuje lub przekazuje informacje o kartach płatniczych i nie jest zobowiązana do uzyskania audytu na miejscu i ROC, muszą Państwo wypełnić SAQ i złożyć go wraz z AOC do banku przejmującego.

Jak zaoszczędzić czas i pieniądze na SAQ

Formularze SAQ PCI DSS mogą być długie i pracochłonne do wypełnienia, kosztując Państwa organizację czas, pieniądze i inne cenne zasoby. Jest to szczególnie prawdziwe, jeśli do śledzenia działań związanych ze zgodnością z PCI używają Państwo arkuszy kalkulacyjnych oraz gromadzą dokumentację z różnych źródeł, takich jak konta e-mail, korespondencja pocztowa, materiały na stronie internetowej oraz wiadomości tekstowe.

Aby ułatwić zadanie samooceny oraz zaoszczędzić czas i pieniądze, dlaczego nie wypróbować oprogramowania do oceny zgodności? ZenGRC może, między innymi:

  • Pomóc zminimalizować zakres środowiska danych posiadaczy kart (CDE)
  • Przebadać Państwa systemy i sieci, aby sprawdzić, w których miejscach spełniają Państwo wymogi PCI DSS, a w których nie
  • Powiedzieć, co należy zrobić, aby osiągnąć zgodność
  • Zapewnić przyjazny dla użytkownika przegląd Państwa postawy w zakresie zgodności z PCI na stronieprzyjazny dla użytkownika przegląd Państwa postawy w zakresie zgodności z PCI na naszym pulpicie nawigacyjnym
  • Zbieranie i przechowywanie potrzebnych dokumentów audytowych
  • Badanie i monitorowanie zgodności Państwa zewnętrznych dostawców usług
  • Stałe monitorowanie bieżącej zgodności z PCI DSS

Czy nie nadszedł czas, aby pozbyć się zagmatwanych, staroświeckich arkuszy kalkulacyjnych? staromodnych arkuszy kalkulacyjnych na rzecz kompletnego, łatwego w użyciu rozwiązania zapewniającego zgodność z przepisami? Zadzwoń już dziś do eksperta Reciprocity i zrób pierwszy krok na drodze do uzyskania zgodności z PCI DSS w sposób Zen.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.