PCI SAQs: ¿Qué Cuestionario de Autoevaluación es Adecuado para Su Empresa?
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de requisitos de seguridad obligatorios para todos los comerciantes y proveedores de servicios que almacenan, procesan, transmiten o podrían impactar la seguridad de los datos del titular de la tarjeta.
Existen diferentes niveles de cumplimiento definidos por el Consejo de Normas de Seguridad PCI (PCI SSC) según la cantidad de transacciones de datos del titular de la tarjeta que la organización pudiera impactar. Estos niveles tienen diferentes requisitos de informes.
Dado que los comerciantes y proveedores de servicios de Nivel 1 impactan la mayor cantidad de transacciones de datos del titular de la tarjeta, se consideran los más riesgosos y probablemente tengan los requisitos de informes más estrictos, lo que resulta en la necesidad de completar un Informe de Cumplimiento (RoC). Todos los demás niveles necesitan completar un Cuestionario de Autoevaluación (SAQ).
Si ha determinado su nivel de PCI y solo necesita completar un SAQ, ha llegado al lugar correcto. Explicaremos los diferentes tipos de SAQ y lo ayudaremos a determinar cuál se aplica a su empresa.
¿Qué es un SAQ de PCI?
SAQ de PCI significa Cuestionario de Autoevaluación de la Industria de Tarjetas de Pago. La autoevaluación es un requisito para los comerciantes y proveedores de servicios que no necesitan un informe completo de cumplimiento.
El SAQ tiene dos partes:
- Un conjunto de preguntas autodirigidas diseñadas para evaluar su nivel de cumplimiento
- Una Declaración de Cumplimiento (AoC), que requiere que su organización o una firma Asesora Calificada (QSA) atestigüen su cumplimiento con PCI DSS
El SAQ requerirá que usted certifique que su organización cumple con los estándares PCI DSS. Con una serie de preguntas de sí o no, el SAQ describirá cada requisito de PCI y la prueba esperada, y luego preguntará si el control está:
- En su lugar
- En su lugar con una Hoja de Trabajo de Control Compensatorio o CCW*
- No en su lugar
- No aplica
- No probado
Los controles compensatorios solo se consideran cuando una organización no puede cumplir con un requisito exactamente como se establece (debido a limitaciones técnicas o de negocios), pero ha hecho lo suficiente para mitigar el riesgo.
Si responde "no en su lugar" a alguna de las preguntas, se le pedirá que explique cuáles son sus planes para remediar la brecha y el cronograma esperado. Debe cumplir con cada control para ser conforme con PCI DSS.
La Guía Definitiva de PCI DSS
Aprenda todo lo que necesita saber sobre los requisitos, el proceso y los costos para obtener y mantener la certificación PCI DSS.
Tipos de SAQ del PCI DSS
Existen 8 tipos de cuestionarios de autoevaluación para comerciantes y proveedores de servicios para documentar y atestiguar su cumplimiento con el PCI DSS. El que necesite completar depende de si es un comerciante o proveedor de servicios y de qué tipo de comerciante sea. A continuación, encontrará una descripción general de cada tipo de SAQ para la última versión del PCI DSS — PCI DSS v4.0.
SAQ A
El SAQ A es para comerciantes que aceptan solo transacciones de comercio electrónico o pedidos por correo/teléfono en los que las tarjetas de pago no están presentes y subcontratan todo el procesamiento de datos de cuenta a terceros que cumplen con el PCI DSS.
No se almacenan, procesan ni transmiten electrónicamente datos de cuenta en los sistemas o instalaciones de los comerciantes con SAQ A. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ A-EP
El SAQ A-EP es para comerciantes que aceptan solo transacciones de comercio electrónico y subcontratan todo el procesamiento de datos de cuenta a terceros que cumplen con el PCI DSS, excepto la página de ingreso de datos de cuenta. Los comerciantes que cumplen con SAQ A-EP tienen sitios web de comercio electrónico que no reciben datos de cuenta ellos mismos, pero sí controlan cómo los clientes o sus datos de cuenta son redirigidos al proveedor de servicios de terceros. Por esta razón, el comerciante afecta la seguridad de la transacción de pago y/o la integridad de la página que acepta los datos de cuenta del cliente.
No se almacenan, procesan ni transmiten electrónicamente datos del titular de la tarjeta en los sistemas o instalaciones de los comerciantes con SAQ A-EP. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ B
El SAQ B es para comerciantes que procesan datos de cuenta utilizando solo máquinas de impresión y/o terminales independientes de marcación. Pueden ser comerciantes de tiendas físicas o de pedidos por correo/teléfono.
No se almacenan electrónicamente datos de cuenta en los sistemas o instalaciones de los comerciantes con SAQ B. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ B-IP
El SAQ B-IP es para comerciantes que procesan datos de cuenta utilizando solo dispositivos de punto de interacción (POI) de Seguridad de Transacciones con PIN (PTS) independientes con una conexión IP al procesador de pagos. Pueden ser comerciantes de tiendas físicas o de pedidos por correo/teléfono.
Al igual que en el caso de los comerciantes con SAQ B, no se almacenan electrónicamente datos de cuenta en los sistemas o instalaciones de los comerciantes con SAQ B-IP. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ C
El SAQ C es para comerciantes que procesan datos de cuenta utilizando solo sistemas de aplicaciones de pago conectados a Internet. Pueden ser comerciantes de tiendas físicas o de pedidos por correo/teléfono.
No se almacenan electrónicamente datos de cuenta en los sistemas o instalaciones de los comerciantes con SAQ C. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ C-VT
El SAQ C-VT es para comerciantes que procesan datos de cuenta utilizando solo soluciones de terminal virtual de pago proporcionadas y alojadas por un proveedor de servicios tercero validado por el PCI DSS y accesibles en un dispositivo informático aislado conectado a Internet. En otras palabras, estos comerciantes ingresan manualmente una transacción a la vez a través de un teclado en una solución de terminal virtual basada en Internet. Pueden ser comerciantes de tiendas físicas o de pedidos por correo/teléfono.
No se almacenan electrónicamente datos de cuenta en los sistemas o instalaciones de los comerciantes con SAQ C-VT. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ P2PE
El SAQ P2PE es para comerciantes que procesan datos de cuenta utilizando solo terminales de pago que están incluidos y gestionados a través de una solución de cifrado punto a punto (P2PE) validada y listada por el PCI. Pueden ser comerciantes de tiendas físicas o de pedidos por correo/teléfono.
No se almacenan electrónicamente datos de cuenta en los sistemas o instalaciones de los comerciantes con SAQ P2PE. Si se retienen datos de cuenta, es en papel, como informes o recibos impresos.
SAQ D
El SAQ D es para todos los comerciantes que no encajan en una de las categorías anteriores y todos los proveedores de servicios que son elegibles para completar un SAQ.
Decidiendo cuál SAQ necesitas para el cumplimiento
Determinar qué tipo de SAQ necesitas completar se reduce principalmente a dos factores: definir si eres un proveedor de servicios o un comerciante y cómo manejas los datos del titular de la tarjeta.
Si eres un proveedor de servicios, necesitarás completar el SAQ D. Si eres un comerciante, tu tipo de SAQ se basará en cómo tu organización maneja los datos del titular de la tarjeta.
La siguiente tabla muestra los criterios de elegibilidad para cada tipo de SAQ. Los comerciantes deben cumplir con todos los requisitos de un SAQ en particular para poder utilizarlo.
| Type of SAQ | Type of merchant | Account data scope | Electronic account data storage allowed |
|---|---|---|---|
| SAQ A | E-commerce and mail order/telephone order (card not present) | Outsource all payment processing to PCI DSS validated and compliant third parties | No |
| SAQ A-EP | E-commerce | Outsource all payment processing to PCI DSS validated and compliant third parties, with the exception of the page that accepts account data | No |
| SAQ B | Brick-and-mortar (card present) and mail order/telephone order (card not present) | Via imprint machines and/or standalone, dial-out terminals (connected via a phone line to the merchant processor) | No |
| SAQ B-IP | Brick-and-mortar and mail order/telephone order | Via PTS POI devices with an IP connection to the payment processor | No |
| SAQ C | Brick-and-mortar and mail order/telephone order | Via payment application systems (ex. Point of sale systems) connected to the Internet | No |
| SAQ C-VT | Brick-and-mortar and mail order/telephone order | Via third-party virtual payment terminal solutions on an isolated computing device connected to the Internet | No |
| SAQ P2PE | Brick-and-mortar and mail order/telephone order | Via a validated PCI-listed P2PE solution | No |
| SAQ D | All merchants who are eligible to complete an SAQ but do not meet the criteria for any other SAQ type Note: This is the only type of SAQ that applies to service providers who are eligible to complete an SAQ. |
May process account data on their website | May have electronic account data storage |
Si aún no estás seguro de qué SAQ es más apropiado para tus necesidades de cumplimiento, puedes solicitar una guía más detallada a tu organización adquirente, banco mercante, marca de pago o asesor de seguridad calificado (QSA).
Simplifica tu Cuestionario de Autoevaluación PCI DSS
Ya sea un SAQ A o SAQ D, aún necesitarás cumplir con todos los requisitos de PCI DSS, que pueden incluir cientos de controles de seguridad, requisitos de cifrado de datos de cuenta, políticas PCI DSS formales publicadas, escaneos de vulnerabilidades y una prueba de penetración.
Secureframe puede ayudar a simplificar el proceso. Nuestro equipo de expertos internos en cumplimiento te ayuda a comprender el marco de PCI DSS y nuestra plataforma automatiza la recopilación de evidencia, monitorea continuamente tus controles y te proporciona una plataforma para gestionar el riesgo de proveedores.
Para aprender cómo evaluar y fortalecer rápidamente tu postura general de seguridad de la información, mantener seguros los datos de las tarjetas de crédito de tus clientes y cumplir con los requisitos de PCI DSS con Secureframe, solicita una demostración hoy mismo.
Preguntas frecuentes
¿Qué es un PCI SAQ?
Un PCI SAQ, o Cuestionario de Autoevaluación del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, es una serie de preguntas de sí o no que incluyen los 12 requisitos para que los comerciantes y proveedores de servicios certifiquen que su organización cumple con los estándares PCI DSS. Un PCI SAQ es un requisito para los comerciantes y proveedores de servicios que no necesitan un informe completo de cumplimiento.
¿Con qué frecuencia necesitas completar el PCI SAQ?
Las marcas de pago establecen la frecuencia para los PCI SAQs, pero en general, las organizaciones de Nivel 2-4 deben completarlo anualmente.
¿Quién necesita completar un PCI SAQ A?
Los comerciantes de comercio electrónico o por correo/teléfono que no almacenan, procesan o transmiten datos de cuenta en formato electrónico en sus sistemas o instalaciones necesitan completar un PCI SAQ A.
¿Cuál es la diferencia entre PCI SAQ A y PCI SAQ A EP?
La diferencia clave es que los comerciantes de PCI SAQ A subcontratan todo el procesamiento de pagos a terceros, mientras que los comerciantes de PCI SAQ A EP subcontratan parcialmente su canal de pagos de comercio electrónico a terceros validados y compatibles con PCI DSS. Además, PCI SAQ A es para comerciantes de comercio electrónico o pedidos por correo/teléfono, mientras que PCI SAQ A EP es solo para comerciantes de comercio electrónico.