De care PCI SAQ am nevoie?

by: adminPosted on:

Publicat 31 iulie 2019 de Alan Gouveia – 3 min citește

De care SAQ PCI am nevoie?

Care dintre cele nouă chestionare de autoevaluare (SAQ) ale Standardului de securitate a datelor din industria cardurilor de plată (PCI DSS) pe care organizația dvs. trebuie să le completeze și să le trimită depinde de mai mulți factori:

  • Cum procesați tranzacțiile cu carduri de credit. Externalizați aceste tranzacții către o terță parte pentru a le procesa sau o faceți dumneavoastră?
  • Ce tip de mașină sau terminal de procesare a plăților folosiți pentru tranzacțiile cu carduri de credit și de debit.
  • Dacă acceptați plăți în magazin de la clienți cu un card fizic sau cu o aplicație de plată prin telefon, sau dacă sunteți strict numai comerț electronic.

Ce este un SAQ și la ce folosește?

Chestionarele de autoevaluare PCI DSS (SAQ) sunt instrumente furnizate de PCI Security Standards Council (PCI SSC) pentru a ajuta comercianții și furnizorii de servicii de procesare a cardurilor de plată să își măsoare propria conformitate PCI Chestionarele de autoevaluare (SAQ) ale Standardului de securitate a datelor din industria cardurilor de plată (PCI DSS).

Organizațiile care nu au obligația de a procura un audit la fața locului de către un evaluator de securitate calificat (QSA) sau un evaluator de securitate intern și Raportul de conformitate (ROC) rezultat sunt autorizate, în schimb, să se autoevalueze. SAQ-urile conțin două componente:

  • Întrebări corelate cu cerințele PCI DSS
  • Un atestat de conformitate (AOC), care trebuie depus la banca dumneavoastră achizitoare

Ce SAQ este potrivit pentru organizația mea?

PCI SSC a elaborat opt SAQ-uri pentru comercianți și unul pentru furnizorii de servicii. Tipurile de SAQ PCI DSS 3.2.1 și utilizatorii cărora li se adresează sunt:

  • SAQ A: Pentru comercianții care își desfășoară activitatea la distanță (comerț electronic, comenzi prin poștă, comenzi prin telefon) care au externalizat procesarea și stocarea datelor cardurilor de plată către o terță parte validată PCI DSS și nu stochează datele cardurilor sau ale titularilor de carduri sub nicio formă.
  • SAQ A-EP: Pentru comercianții de comerț electronic care au externalizat procesarea și stocarea datelor cardurilor de credit către o terță parte validată PCI DSS, dar care mențin, de asemenea, un site web care nu primește date ale titularilor de carduri, dar care ar putea afecta securitatea unei tranzacții de plată.
  • SAQ B: Pentru comercianții care efectuează vânzări în persoană utilizând aparate de imprimare a cardurilor de credit sau terminale autonome, cu apelare, care nu stochează electronic datele titularilor de carduri.
  • SAQ B-IP: Pentru comercianții prezenți cu cardul care efectuează vânzări în persoană folosind numai terminale de plată cu carduri autonome, aprobate de PIN Transaction Security (PTS), cu o conexiune prin protocol de internet (IP) la procesatorul de plăți și care nu stochează datele electronice ale titularilor de carduri.
  • SAQ C-VT: Pentru comercianții care introduc manual o singură tranzacție la un moment dat, prin intermediul unei tastaturi, într-o soluție de terminal de plată virtuală bazată pe internet, care este furnizată și găzduită de un furnizor de servicii terț validat de PCI DSS. Comercianții SAQ C-VT nu pot stoca date electronice ale titularilor de carduri.
  • SAQ C: Pentru comercianții care efectuează vânzări în persoană utilizând sisteme de aplicații de plată conectate la internet. Comercianții SAQ-C nu pot stoca date electronice ale titularilor de carduri.
  • SAQ P2PE: Pentru comercianții care utilizează numai terminale de plată hardware incluse într-o soluție validată și gestionată prin intermediul unei soluții de criptare punct-la-punct (P2PE) validată, listată de PCI SSC, fără a stoca date electronice ale titularilor de carduri. Nu se aplică canalelor de comerț electronic.
  • SAQ D pentru comercianți: Pentru toți comercianții care nu sunt incluși în descrierile pentru tipurile de SAQ de mai sus.
  • SAQ D pentru furnizorii de servicii: Pentru toți furnizorii de servicii definiți de o marcă de plată ca fiind eligibili pentru a completa un SAQ.

Dacă organizația dumneavoastră procesează, stochează sau transmite informații despre carduri de plată și nu vi se cere să obțineți un audit la fața locului și un ROC, trebuie să completați un SAQ și să îl trimiteți împreună cu un AOC băncii dumneavoastră achizitoare.

Cum să economisiți timp și bani pentru SAQ-ul dumneavoastră

Formularele SAQ PCCI DSS pot fi lungi și laborioase de completat, costând organizația dumneavoastră timp, bani și alte resurse valoroase. Acest lucru este valabil mai ales dacă folosiți foi de calcul pentru a vă urmări eforturile de conformitate PCI și dacă adunați documentația din surse disparate, cum ar fi conturile de e-mail, corespondența prin poștă, materialele de pe site-ul web și mesajele text.

Pentru a ușura sarcina de autoevaluare și pentru a economisi timp și bani, de ce nu încercați un software de conformitate? ZenGRC poate, printre altele:

  • Să vă ajute să reduceți la minimum domeniul de aplicare al mediului de date ale deținătorilor de carduri (CDE)
  • Să vă sondeze sistemele și rețelele pentru a vedea unde sunteți în conformitate cu PCI DSS și unde nu
  • Să vă spună ce trebuie să faceți pentru a ajunge la conformitate
  • Să vă ofere un user-…ușor de utilizat a poziției dvs. de conformitate PCI pe tabloul nostru de bord „sursa unică a adevărului”
  • Colectați și păstrați documentele de urmărire a auditului de care aveți nevoie
  • Cercetați și monitorizați conformitatea furnizorilor dvs. de servicii terți
  • Monitorizați în mod continuu conformitatea PCI DSS în curs de desfășurare

Nu este timpul să renunțați la confuzia dvs, foile de calcul de modă veche pentru o soluție de conformitate completă și ușor de utilizat? Sunați astăzi un expert Reciprocity și faceți primul pas pe calea fără griji către conformitatea PCI DSS – calea Zen.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.