Vilken PCI SAQ behöver jag?

by: adminPosted on:

Publicerad 31 juli 2019 av Alan Gouveia – 3 min read

Vilket PCI SAQ behöver jag?

Vilket av de nio frågeformulären för självutvärdering (Self-Assessment Questionnaires, SAQ) som din organisation behöver fylla i och skicka in beror på flera faktorer:

  • Hur du hanterar kreditkortstransaktioner. Lämnar ni ut dessa transaktioner till en tredje part för behandling eller gör ni det själva?
  • Vilken typ av betalningsmaskin eller terminal ni använder för kredit- och betalkortstransaktioner.
  • Om ni tar emot betalningar i butik från kunder med ett fysiskt kort eller en applikation för telefonbetalning, eller om ni enbart bedriver e-handel.

Vad är en SAQ och vad är den till för?

PCI DSS Self-Assessment Questionnaires (SAQs) är verktyg som tillhandahålls av PCI Security Standards Council (PCI SSC) för att hjälpa handlare och tjänsteleverantörer som hanterar betalkort att mäta sin egen efterlevnad av PCI Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQs).

Organisationer som inte är skyldiga att upphandla en revision på plats av en kvalificerad säkerhetsbedömare (Qualified Security Assessor, QSA) eller en intern säkerhetsbedömare och den resulterande rapporten om överensstämmelse (Report on Compliance, ROC) får i stället göra en självbedömning. SAQ:s innehåller två komponenter:

  • Frågor som motsvarar PCI DSS-kraven
  • Ett intyg om överensstämmelse (AOC), som ska lämnas in till din bank

Vilket SAQ är rätt för min organisation?

PCI SSC har utvecklat åtta SAQ för handlare och ett för tjänsteleverantörer. Följande typer av SAQ för PCI DSS 3.2.1 och deras avsedda användare finns:

  • SAQ A: För handlare som gör affärer på distans (e-handel, postorder, telefonorder) och som har lagt ut behandling och lagring av betalkortsdata på entreprenad till en tredje part som är validerad enligt PCI DSS, och som inte lagrar kort- eller kortinnehavaruppgifter i någon form.
  • SAQ A-EP: För e-handelshandlare som har lagt ut behandling och lagring av kreditkortsdata på entreprenad till en PCI DSS-validerad tredje part, men som också upprätthåller en webbplats som inte tar emot kortinnehavaruppgifter men som skulle kunna påverka säkerheten vid en betalningstransaktion.
  • SAQ B: För handlare som genomför försäljning personligen med hjälp av maskiner för avtryckning av kreditkort eller fristående terminaler för uppringning som inte lagrar kortinnehavaruppgifter elektroniskt.
  • SAQ B-IP: För kort närvarande handlare som genomför försäljning personligen med hjälp av endast fristående, PIN Transaction Security (PTS)-godkända kortbetalningsterminaler med en Internet Protocol (IP)-anslutning till betalningsförmedlaren, och som inte lagrar elektroniska kortinnehavaruppgifter.
  • SAQ C-VT: För handlare som manuellt matar in en enda transaktion åt gången via ett tangentbord i en internetbaserad, virtuell betalterminallösning som tillhandahålls och drivs av en tredjepartsleverantör som är validerad enligt PCI DSS. SAQ C-VT-handlare får inte lagra elektroniska kortinnehavaruppgifter.
  • SAQ C: För handlare som bedriver försäljning personligen med hjälp av betalningsapplikationssystem som är anslutna till Internet. SAQ-C-handlare får inte lagra elektroniska kortinnehavaruppgifter.
  • SAQ P2PE: För handlare som endast använder hårdvarubetalningsterminaler som ingår i och hanteras via en validerad, PCI SSC-listad P2PE-lösning (Point-to-Point Encryption), utan lagring av elektroniska kortinnehavaruppgifter. Gäller inte för e-handelskanaler.
  • SAQ D för handlare: För alla handlare som inte ingår i beskrivningarna för ovanstående SAQ-typer.
  • SAQ D för tjänsteleverantörer: För alla tjänsteleverantörer som definieras av ett betalningsmärke som berättigade att fylla i ett SAQ.

Om din organisation behandlar, lagrar eller överför information om betalkort och du inte är skyldig att få en revision på plats och en ROC, måste du fylla i en SAQ och skicka in den tillsammans med en AOC till din förvärvande bank.

Så sparar du tid och pengar på din SAQ

PCI DSS SAQ-blanketter kan vara långa och besvärliga att fylla i, vilket kostar din organisation tid, pengar och andra värdefulla resurser. Detta gäller särskilt om du använder kalkylblad för att spåra ditt arbete med PCI-överensstämmelse och samlar in dokumentation från olika källor som e-postkonton, postkorrespondens, webbplatsmaterial och textmeddelanden.

För att underlätta självutvärderingsuppgiften och spara tid och pengar, varför inte prova en programvara för efterlevnad? ZenGRC kan bland annat:

  • Hjälpa dig att minimera omfattningen av din kortinnehavardatamiljö (CDE)
  • Undersöka dina system och nätverk för att se var du uppfyller PCI DSS och var du inte gör det
  • Berätta för dig vad du behöver göra för att uppnå överensstämmelse
  • Ge en användarvänlig-användarvänlig översikt över din PCI-överensstämmelse på vår instrumentpanel
  • Samla in och spara de dokument om granskningsspår som du behöver
  • Undersöka och övervaka dina tredjepartstjänsteleverantörers överensstämmelse
  • Kontinuerligt övervaka din löpande PCI DSS-överensstämmelse

Är det inte dags att du slutar med att vara förvirrad? gammaldags kalkylblad för en komplett, lättanvänd lösning för regelefterlevnad? Ring en Reciprocity-expert i dag och ta ditt första steg på den bekymmersfria vägen till PCI DSS-överensstämmelse – på Zen-sättet.

Lämna ett svar

Din e-postadress kommer inte publiceras.