Si su organización acepta, procesa, almacena, transmite o influye en la seguridad de los datos del titular de la tarjeta, debe cumplir con PCI. Sus bancos adquirentes, marcas de tarjetas de pago o clientes pueden exigir que cumpla con PCI al menos anualmente.

Dependiendo del nivel de PCI en el que se encuentre su empresa, el informe de cumplimiento consiste en un Informe de Cumplimiento (RoC) o un Cuestionario de Autoevaluación (SAQ).

PCI RoC vs SAQ

El PCI RoC es una auditoría externa realizada por un asesor de seguridad certificado (QSA) o un evaluador de seguridad interno (ISA) para determinar si las políticas y procedimientos de su organización, las configuraciones de redes y aplicaciones, y los controles de seguridad generales cumplen con los requisitos de PCI-DSS.

El PCI SAQ consiste en una serie de preguntas de sí o no que abarcan los 12 requisitos donde debe confirmar que su organización cumple con los estándares PCI-DSS. Esto puede ser realizado por su organización o revisado por un QSA para determinar el estado de cumplimiento de la organización con PCI.

Hay 8 tipos de Cuestionarios de Autoevaluación para comerciantes y proveedores de servicios para demostrar su cumplimiento con PCI-DSS.

¿Quién necesita un RoC vs SAQ?

El RoC se aplica a los comerciantes de nivel 1 y proveedores de servicios de nivel 1. Usted califica para un RoC si su organización:

  • Acepta pagos con tarjeta a cambio de bienes y servicios Y procesa más de 6 millones de transacciones al año; o
  • Procesa datos del titular de la tarjeta en nombre de otra empresa Y procesa más de 300.000 transacciones al año.

Los RoC también pueden ser necesarios para comerciantes y proveedores de servicios que procesen menos transacciones que los umbrales mencionados anteriormente, dependiendo de las condiciones de riesgo de los clientes y bancos con los que trabajan.

Si no entra en estas categorías, deberá completar un SAQ.

¿Quién puede realizar un RoC vs SAQ?

Un RoC debe ser completado por un QSA certificado o un ISA. El Consejo de Normas de Seguridad PCI proporciona una lista de QSA para ayudarle a encontrar uno cerca de usted.

Los SAQ son realizados internamente por la organización, pero pueden ser revisados por un QSA para determinar el estado de cumplimiento de la organización con PCI.

¿Con qué frecuencia debe una organización completar un RoC vs SAQ?

Las marcas de pago establecen la frecuencia de las auditorías, pero en general, un comerciante o proveedor de servicios de nivel 1 debe realizar una auditoría completa y completar un RoC anualmente.

Las marcas de pago también determinan la frecuencia de los SAQ, pero en general, las organizaciones de niveles 2-4 deberían completar uno una vez al año. La mayoría de las marcas también requieren que estas organizaciones completen y envíen un AoC anualmente.

Partes de RoC vs. SAQ

Un RoC se divide en tres partes: un resumen ejecutivo, un resumen de los resultados y el certificado de cumplimiento.

  1. El Resumen ejecutivo describe cómo se realizó la auditoría y qué se probó, incluyendo muchos detalles específicos de una organización, como diagramas, datos de titulares de tarjetas, detalles del entorno e información del auditor.
  2. El Resumen de los resultados es donde el QSA documenta cómo observó o inspeccionó los controles existentes y marca sus resultados para cada requisito.
  3. El Certificado de cumplimiento es un resumen que muestra qué requisitos se cumplieron, no se cumplieron o no eran aplicables, y donde el QSA certifica el estado de cumplimiento de la organización.

El SAQ también tiene tres partes:

  1. Una Descripción general del negocio, en la que documenta detalles sobre su servicio y el entorno de datos de los titulares de tarjetas
  2. Un Conjunto de preguntas realizadas por usted mismo, que tiene como objetivo evaluar su nivel de cumplimiento
  3. Un Certificado de cumplimiento, que requiere que certifique que está calificado para completar el SAQ y que lo ha hecho

Resultados de RoC vs. SAQ

En PCI DSS 4.0 hay diferentes tipos de resultados para el RoC y el SAQ. Estos se enumeran a continuación.

  • Implementado: Se realizaron pruebas y se cumplieron todos los elementos del requisito.
  • Implementado con corrección (solo SAQ): No se cumplió el requisito en un momento determinado durante la evaluación, pero se corrigió antes de finalizar la evaluación.
  • Implementado con CCW (solo SAQ): Se realizaron las pruebas esperadas y el requisito se cumplió mediante un control compensatorio.
  • No aplicable: El requisito no es aplicable a la organización.
  • No probado: El requisito no se incluyó en la evaluación y no se probó de ninguna manera.
  • No implementado: Algunos o todos los elementos del requisito no se cumplieron, están en proceso de implementación o requieren más pruebas.

Una organización no se considera conforme si no cumple con un requisito dentro del PCI DSS. La validación es un principio de todo o nada, por lo que se deben cumplir todos los requisitos para ser considerado conforme con PCI.

Proceso de RoC vs. SAQ

Hay seis pasos principales para crear un RoC:

  • Paso 1: Determine el QSA que utilizará o el ISA que realizará la evaluación.
  • Paso 2: Prepárese para la evaluación revisando los requisitos, el alcance y los controles.
  • Paso 3: Realice la evaluación.
  • Paso 4: Corrija las deficiencias encontradas.
  • Paso 5: Envíe el certificado a las partes solicitantes.
  • Paso 6: Mantenga la conformidad durante todo el año.

El proceso SAQ también se puede dividir en seis pasos.

  • Paso 1: Determine quién realizará la evaluación internamente o contacte a una empresa QSA.
  • Paso 2: Prepárese para la evaluación revisando los requisitos, el alcance y los controles.
  • Paso 3: Realice la evaluación.
  • Paso 4: Corrija las deficiencias encontradas.
  • Paso 5: Envíe el certificado a las partes solicitantes.
  • Paso 6: Mantenga la conformidad durante todo el año.

A continuación se ofrece un resumen de las diferencias esenciales entre el RoC y el SAQ.

RoC SAQ
What is it? An external audit performed by a QSA or ISA A self-assessment questionnaire designed to assess an organization’s level of compliance
Who needs one? Level 1 merchants and service providers Merchants and service providers that do not need a full Level 1 RoC for PCI compliance
Who can conduct one? QSA or ISA An internal party can conduct the assessment and the SAQ can also be reviewed by a QSA
How often should one be completed? Annually (unless a significant change of service occurs) Annually (unless a significant change of service occurs)
What are the major components? -Executive Summary
-Scope of Assessment
-Description of Environment
-Assessment Methodology
-Findings and recommendations
-Attestation of Compliance
-Supporting Documentation
-Business Information
-Assessment Information
-Self Assessment
-Attestation of Compliance
What are the possible findings? -In place
-Not applicable
-Not tested
-Not in place
-In place
-In place with a Compensating Control Worksheet
-Not applicable
-Not tested
-Not in place
What is the process for completing one? 1. Determine the QSA you will use or ISA that will perform the assessment.
2. Prepare for the assessment by reviewing requirements, scope and controls.
3. Conduct the assessment.
4. Remediate findings.
5. Submit the attestation to inquiring parties.
6. Maintain compliance throughout the year.
1. Determine who internally is going to perform the assessment, or reach out to a QSA firm.
2. Prepare for the assessment by reviewing requirements, scope and controls.
3. Conduct the assessment.
4. Remediate findings.
5. Submit the attestation to inquiring parties.
6. Maintain compliance throughout the year.