Que PCI SAQ eu preciso?

by: adminPosted on:

Publicado em 31 de julho de 2019 por Alan Gouveia – 3 min leia-se

Qual o PCI SAQ que eu preciso?

p>Qual dos nove Questionários de Auto-Avaliação (SAQs) do PCI DSS (Payment Card Industry Data Security Standard) a sua organização precisa preencher e enviar depende de vários fatores:

  • Como você processa as transações com cartão de crédito. Você terceiriza essas transações a terceiros para processá-las, ou você mesmo as processa?
  • Que tipo de máquina ou terminal de processamento de pagamentos você usa para transações com cartão de crédito e débito.
  • Se você aceita pagamentos em loja de clientes com um cartão físico ou aplicação de pagamento por telefone, ou se são estritamente comércio eletrônico apenas.

O que é um SAQ, e para que serve?

PCI DSS Self-Assessment Questionnaires (SAQs) são ferramentas fornecidas pelo PCI Security Standards Council (PCI SSC) para ajudar os comerciantes e prestadores de serviços que processam cartões de pagamento a medir sua própria conformidade com o PCI Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQs).

As organizações que não são obrigadas a obter uma auditoria no local por um Avaliador de Segurança Qualificado (QSA) ou Avaliador de Segurança Interna e o Relatório de Conformidade (ROC) resultante são permitidas, em vez disso, a auto-avaliação. Os SAQs contêm dois componentes:

  • Questões correlatas aos requisitos PCI DSS
  • Um Atestado de Conformidade (AOC), a ser arquivado no seu banco adquirente

Qual é o SAQ certo para a minha organização?

O PCI SSC desenvolveu oito SAQs para comerciantes e um para prestadores de serviços. Os tipos de SAQs PCI DSS 3.2.1 e seus usuários são:

  • SAQ A: Para comerciantes que fazem negócios remotamente (comércio eletrônico, pedidos por correio, pedidos por telefone) que terceirizaram o processamento e armazenamento de dados de cartões de pagamento a terceiros validados pelo PCI DSS, e não armazenam dados de cartões ou titulares de cartões de pagamento em nenhuma forma.
  • SAQ A-EP: Para comerciantes de comércio eletrônico que terceirizaram o processamento e o armazenamento de dados de cartões de crédito para um terceiro PCI DSS-validado, mas também mantêm um site que não recebe dados do portador do cartão, mas que pode afetar a segurança de uma transação de pagamento.
  • SAQ B: Para comerciantes que realizam vendas em pessoa usando máquinas de impressão de cartão de crédito ou terminais autônomos, discados que não armazenam eletronicamente os dados do portador do cartão.
  • SAQ B-IP: Para os comerciantes que realizam vendas pessoalmente utilizando apenas terminais de pagamento com cartão de crédito standalone, PIN Transaction Security (PTS) aprovados com uma ligação à Internet (IP) e que não armazenam os dados do titular do cartão electrónico.
  • SAQ C-VT: Para os comerciantes que realizam manualmente uma única transação de cada vez através de um teclado em uma solução de terminal de pagamento virtual baseada na Internet que é fornecida e hospedada por um provedor de serviços PCI DSS validado por terceiros. Os estabelecimentos comerciais SAQ C-VT não podem armazenar dados de portadores de cartões eletrônicos.
  • SAQ C: Para comerciantes que realizam vendas presenciais usando sistemas de aplicativos de pagamento conectados à Internet. Os estabelecimentos comerciais SAQ-C não armazenam dados de portadores de cartões eletrônicos.
  • SAQ P2PE: Para comerciantes que utilizam apenas terminais de pagamento por hardware incluídos e geridos através de uma solução P2PE (Point-to-Point Encryption) validada e listada no PCI, sem armazenamento de dados do portador do cartão electrónico. Não aplicável aos canais de comércio electrónico.
  • SAQ D para Comerciantes: Para todos os comerciantes não incluídos nas descrições para os tipos de SAQ acima.
  • SAQ D para Prestadores de Serviços: Para todos os prestadores de serviços definidos por uma marca de pagamento como elegíveis para completar um SAQ.

Se a sua organização processa, armazena ou transmite informações de cartão de pagamento e não é necessário obter uma auditoria no local e ROC, você deve preencher um SAQ e enviá-lo com um AOC ao seu banco adquirente.

Como economizar tempo e dinheiro no seu SAQ

Formulários de SAQ DSS DSS doPCI podem ser longos e trabalhosos de preencher, custando tempo, dinheiro e outros recursos valiosos para a sua organização. Isso é especialmente verdade se você estiver usando planilhas para rastrear seus esforços de conformidade PCI e coletando documentação de fontes diferentes, como contas de e-mail, correspondência de correio, materiais do site e mensagens de texto.

Para facilitar a tarefa de auto-avaliação e economizar tempo e dinheiro, por que não experimentar um software de conformidade? O ZenGRC pode, entre outras coisas:

  • Ajudá-lo a minimizar o escopo do seu ambiente de dados do titular do cartão (CDE)
  • Sonde seus sistemas e redes para ver onde você cumpre com o PCI DSS e onde você não cumpre
  • Diga-lhe o que você precisa fazer para atingir a conformidade
  • Providencie um usuário…visão geral amigável da sua postura de conformidade PCI em nosso painel de controle “fonte única da verdade”
  • Colete e mantenha os documentos da trilha de auditoria que você precisa
  • Pesquise e monitore a conformidade de seus provedores de serviços de terceiros
  • Monitore continuamente a sua conformidade DSS PCI em andamento

Não é hora de você abandonar sua confusão, folhas de cálculo antiquadas para uma solução de conformidade completa e fácil de usar? Ligue para um especialista em Reciprocidade hoje e dê seu primeiro passo no caminho livre de preocupações para a conformidade com o PCI DSS – o caminho Zen.

Deixe uma resposta

O seu endereço de email não será publicado.