Questionnaires d'auto-évaluation PCI : Quel questionnaire d'auto-évaluation est le bon pour votre entreprise ?
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences de sécurité pour tous les commerçants et prestataires de services qui stockent, traitent, transmettent ou peuvent impacter la sécurité des données des titulaires de carte.
Il existe différents niveaux de conformité définis par le Conseil des normes de sécurité PCI (PCI SSC) en fonction du montant des transactions de données des titulaires de carte que l'organisation peut impacter. Ces niveaux ont des exigences de déclaration différentes.
Étant donné que les commerçants et prestataires de services de niveau 1 impactent le plus grand nombre de transactions de données des titulaires de carte, ils sont considérés comme les plus risqués et ont probablement les exigences de déclaration les plus strictes, ce qui nécessite de compléter un rapport sur la conformité (RoC). Tous les autres niveaux doivent compléter un Questionnaire d'auto-évaluation (SAQ).
Si vous avez déterminé votre niveau PCI et que vous avez seulement besoin de compléter un SAQ, vous êtes au bon endroit. Nous expliquerons les différents types de SAQ et vous aiderons à déterminer lequel s'applique à votre entreprise.
Qu'est-ce qu'un PCI SAQ ?
PCI SAQ signifie Questionnaire d'auto-évaluation de l'industrie des cartes de paiement. L'auto-évaluation est une exigence pour les commerçants et prestataires de services qui n'ont pas besoin d'un rapport complet sur la conformité.
Le SAQ comporte deux parties :
- Un ensemble de questions autoguidées conçues pour évaluer votre niveau de conformité
- Une attestation de conformité (AoC), qui nécessite que votre organisation ou une société d'évaluation qualifiée (QSA) atteste de votre conformité PCI DSS
Le SAQ exigera que vous attestiez que votre organisation respecte les normes PCI DSS. Avec une série de questions par oui ou non, le SAQ décrira chaque exigence PCI et les tests attendus, puis demandera si le contrôle est :
- En place
- En place avec une feuille de calcul de contrôle compensatoire ou CCW*
- Pas en place
- N/A
- Non testé
Les contrôles compensatoires sont uniquement considérés lorsqu'une organisation ne peut pas répondre précisément à une exigence (en raison de contraintes techniques ou commerciales) mais a suffisamment fait de son mieux pour atténuer le risque.
Si vous répondez "pas en place" à l'une des questions, vous devrez expliquer quels sont vos plans pour remédier à l'écart et le calendrier prévu. Vous devez respecter chaque contrôle pour être conforme au PCI DSS.
Le guide ultime du PCI DSS
Découvrez tout ce que vous devez savoir sur les exigences, le processus et les coûts de l'obtention et du maintien de la certification PCI DSS.
Types de SAQ PCI DSS
Il existe 8 types de questionnaires d'auto-évaluation pour les commerçants et les prestataires de services afin de documenter et d'attester de leur conformité PCI DSS. Celui que vous devez remplir dépend si vous êtes un commerçant ou un prestataire de services et du type de commerçant que vous êtes. Retrouvez ci-dessous une vue d'ensemble de chaque type de SAQ pour la dernière version de PCI DSS — PCI DSS v4.0 — ci-dessous.
SAQ A
SAQ A concerne les commerçants qui n'acceptent que des transactions de commerce électronique ou de commande par correspondance/téléphone où les cartes de paiement ne sont pas présentes et externalisent tout le traitement des données de compte à des tiers conformes au PCI DSS.
Aucune donnée de compte n'est stockée, traitée ou transmise électroniquement sur les systèmes ou locaux des commerçants SAQ A. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ A-EP
SAQ A-EP concerne les commerçants qui n'acceptent que des transactions de commerce électronique et externalisent tout le traitement des données de compte à des tiers conformes au PCI DSS, à l'exception de la page d'ingestion des données de compte. Les commerçants qui se conforment à la SAQ A-EP ont des sites Web de commerce électronique qui ne reçoivent pas eux-mêmes les données de compte mais contrôlent la manière dont les clients, ou leurs données de compte, sont redirigés vers le prestataire de services tiers. Pour cette raison, le commerçant affecte la sécurité de la transaction de paiement et/ou l'intégrité de la page qui accepte les données de compte du client.
Aucune donnée de titulaire de carte n'est stockée, traitée ou transmise électroniquement sur les systèmes ou locaux des commerçants SAQ A-EP. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ B
SAQ B concerne les commerçants qui traitent les données de compte uniquement à l'aide de machines à empreinte et/ou de terminaux autonomes avec accès par modem. Ils peuvent être des commerçants de type physique ou de commande par correspondance/téléphone.
Aucune donnée de compte n'est stockée électroniquement sur les systèmes ou locaux des commerçants SAQ B. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ B-IP
SAQ B-IP est pour les commerçants qui traitent les données de compte uniquement à l'aide de dispositifs de point d'interaction (POI) de sécurité des transactions par code PIN (PTS) autonomes avec une connexion IP au processeur de paiement. Ils peuvent être des commerçants de type physique ou de commande par correspondance/téléphone.
Comme pour les commerçants SAQ B, aucune donnée de compte n'est stockée électroniquement sur les systèmes ou locaux des commerçants SAQ B-IP. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ C
SAQ C concerne les commerçants qui traitent les données de compte en utilisant uniquement des systèmes d'application de paiement connectés à Internet. Ils peuvent être des commerçants de type physique ou de commande par correspondance/téléphone.
Aucune donnée de compte n'est stockée électroniquement sur les systèmes ou locaux des commerçants SAQ C. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ C-VT
SAQ C-VT est pour les commerçants qui traitent les données de compte en utilisant uniquement des solutions de terminal de paiement virtuel fournies et hébergées par un prestataire de services tiers validé PCI DSS et accessibles sur un dispositif informatique isolé connecté à Internet. En d'autres termes, ces commerçants saisissent manuellement une seule transaction à la fois via un clavier dans une solution de terminal virtuel basée sur Internet. Ils peuvent être des commerçants de type physique ou de commande par correspondance/téléphone.
Aucune donnée de compte n'est stockée électroniquement sur les systèmes ou locaux des commerçants SAQ C-VT. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ P2PE
SAQ P2PE est pour les commerçants qui traitent les données de compte uniquement à l'aide de terminaux de paiement inclus dans et gérés via une solution de cryptage point à point (P2PE) validée et répertoriée PCI. Ils peuvent être des commerçants de type physique ou de commande par correspondance/téléphone.
Aucune donnée de compte n'est stockée électroniquement sur les systèmes ou locaux des commerçants SAQ P2PE. Si des données de compte sont conservées, elles sont sur papier, comme les rapports imprimés ou les reçus.
SAQ D
SAQ D est pour tous les commerçants qui ne correspondent à aucune des catégories ci-dessus et tous les prestataires de services éligibles pour remplir un SAQ.
Décider de quel SAQ vous avez besoin pour la conformité
Déterminer quel type de SAQ vous devrez remplir dépend principalement de deux facteurs : définir si vous êtes un fournisseur de services ou un commerçant et comment vous gérez les données des titulaires de carte.
Si vous êtes un fournisseur de services, vous devrez compléter le SAQ D. Si vous êtes un commerçant, votre type de SAQ sera basé sur la manière dont votre organisation gère les données des titulaires de carte.
Le tableau ci-dessous montre les critères d'éligibilité pour chaque type de SAQ. Les commerçants doivent répondre à toutes les conditions requises pour un SAQ particulier afin de l'utiliser.
| Type of SAQ | Type of merchant | Account data scope | Electronic account data storage allowed |
|---|---|---|---|
| SAQ A | E-commerce and mail order/telephone order (card not present) | Outsource all payment processing to PCI DSS validated and compliant third parties | No |
| SAQ A-EP | E-commerce | Outsource all payment processing to PCI DSS validated and compliant third parties, with the exception of the page that accepts account data | No |
| SAQ B | Brick-and-mortar (card present) and mail order/telephone order (card not present) | Via imprint machines and/or standalone, dial-out terminals (connected via a phone line to the merchant processor) | No |
| SAQ B-IP | Brick-and-mortar and mail order/telephone order | Via PTS POI devices with an IP connection to the payment processor | No |
| SAQ C | Brick-and-mortar and mail order/telephone order | Via payment application systems (ex. Point of sale systems) connected to the Internet | No |
| SAQ C-VT | Brick-and-mortar and mail order/telephone order | Via third-party virtual payment terminal solutions on an isolated computing device connected to the Internet | No |
| SAQ P2PE | Brick-and-mortar and mail order/telephone order | Via a validated PCI-listed P2PE solution | No |
| SAQ D | All merchants who are eligible to complete an SAQ but do not meet the criteria for any other SAQ type Note: This is the only type of SAQ that applies to service providers who are eligible to complete an SAQ. |
May process account data on their website | May have electronic account data storage |
Si vous n'êtes toujours pas sûr de quel SAQ est le plus approprié à vos besoins de conformité, vous pouvez demander des conseils plus détaillés à votre organisation d'acquisition, banque de commerçant, marque de paiement ou évaluateur de sécurité qualifié (QSA).
Simplifiez votre Questionnaire d'auto-évaluation PCI DSS
Qu'il s'agisse d'un SAQ A ou d'un SAQ D, vous devrez toujours vous conformer à toutes les exigences PCI DSS — qui peuvent inclure des centaines de contrôles de sécurité, des exigences de cryptage des données de compte, des politiques PCI DSS formellement publiées, des analyses de vulnérabilité, et un test de pénétration.
Secureframe peut aider à simplifier le processus. Notre équipe d'experts en conformité internes vous aide à comprendre le cadre PCI DSS et notre plateforme automatisepé le collecte des preuves, surveille en continu vos contrôles, et vous offre une plateforme pour gérer les risques fournisseurs.
Pour apprendre comment évaluer et renforcer rapidement votre posture globale de sécurité de l'information, garder les données de carte de crédit de vos clients en sécurité et satisfaire aux exigences PCI DSS avec Secureframe, demandez une démo dès aujourd'hui.
FAQ
Qu'est-ce qu'un PCI SAQ ?
Un PCI SAQ, ou Questionnaire d'auto-évaluation de l'industrie des cartes de paiement, est une série de questions par oui ou par non qui inclut les 12 exigences qui obligent les commerçants et les fournisseurs de services à attester que leur organisation respecte les normes PCI DSS. Un PCI SAQ est une exigence pour les commerçants et les fournisseurs de services qui n'ont pas besoin d'un rapport de conformité complet.
À quelle fréquence devez-vous remplir le PCI SAQ ?
Les marques de paiement définissent la fréquence des PCISAQ, mais en général, les organisations de niveau 2 à 4 doivent en remplir un chaque année.
Qui doit remplir un PCI SAQ A ?
Les commerçants de commerce électronique ou de vente par correspondance/téléphone qui ne stockent, ne traitent ni ne transmettent aucune donnée de compte au format électronique sur leurs systèmes ou locaux doivent remplir un PCI SAQ A.
Quelle est la différence entre PCI SAQ A et PCI SAQ A EP ?
La principale différence est que les commerçants PCI SAQ A externalisent le traitement de tous les paiements à des tiers, tandis que les commerçants PCI SAQ A EP externalisent partiellement leur canal de paiement e-commerce à des tiers validés et conformes PCI DSS. De plus, le PCI SAQ A est destiné aux commerçants de commerce électronique ou de commande par courrier/téléphone, tandis que le PCI SAQ A EP est uniquement pour les commerçants de commerce électronique.