10.01.2019
Сertyfikacja zgodnie ze standardem PCI DSS jest możliwa w ramach uproszczonej procedury. Jak określić, czy certyfikacja będzie przeprowadzana w oparciu o nią?
Jeśli firma nie jest bankiem, centrum przetwarzania lub globalnym detalistą, a także przetwarza nie więcej niż 300 tys. transakcji w ciągu roku, to certyfikacja PCI DSS jest możliwa w ramach uproszczonej procedury.
Oznacza to, że pełna audyt nie jest wymagana dla uzyskania certyfikatu. Nie ma sensu zapraszać certyfikowanego audytora do firmy, ponieważ niezbędna ocena zgodności ze standardem PCI DSS może być przeprowadzona zdalnie.
Aby potwierdzić zgodność, należy wypełnić tzw. ankietę samooceny SAQ. Formularz samooceny SAQ można znaleźć na stronie Rady PCI DSS.
Samodzielne wypełnianie kwestionariusza SAQ jest zadaniem trudnym ze względu na specyfikę sformułowań. Nawet Rada PCI DSS zaleca przeszkolenie i uzyskanie certyfikatu w ramach programu audytora wewnętrznego PCI DSS przed wypełnieniem ankiety. Taki proces szkoleniowy pracownika może być czasochłonny i kosztowny. Po co tworzyć w firmie stałego audytora, który po szkoleniu będzie chciał sprzedać swoje nowe umiejętności drożej?
Zalecamy skorzystanie z usług firm specjalizujących się w certyfikacji zgodnie ze standardem PCI DSS do wypełnienia kwestionariusza SAQ. Nasza firma IT Specialist to właśnie ta firma, która bez problemu wypełni ankietę SAQ i przeprowadzi certyfikację PCI DSS dla Twojego biznesu.
Obecnie istnieje dziewięć różnych wariantów kwestionariuszy SAQ. W zależności od sposobu przetwarzania danych kart płatniczych, konieczne jest wypełnienie odpowiedniego kwestionariusza.
Na początku, gdy standard PCI DSS był tworzony, istniały tylko 4 rodzaje kwestionariuszy: A, B, C, D. Te literowe oznaczenia zachowały się do dziś. Wraz z rozwojem technologii przetwarzania danych kartowych pojawiały się kwestionariusze odzwierciedlające specyfikę nowych technologii, dla których zastosowano rozszerzone oznaczenia literowe. Na przykład pojawiły się kwestionariusze A-EP czy B-IP.
Przejdźmy teraz krótko przez kwestionariusze każdego typu.
Kwestionariusz SAQ A – to najprostszy i najkrótszy kwestionariusz, przeznaczony dla firm, które nie przechowują danych kart. Takie firmy są nazywane e-commerce i akceptują płatności kartami tylko za pośrednictwem systemów online. Przy tym przyjmowanie danych kartowych i ich przetwarzanie odbywa się za pośrednictwem zewnętrznego dostawcy – banku lub centrum przetwarzania.Przykładami takich firm są sklepy internetowe, strony sprzedaży różnych biletów, usługi rezerwacji hoteli i inne formy handlu online. W takim przypadku takie firmy nie mają własnej strony płatności. Podczas zakupów użytkownik jest przekierowywany na stronę dostawcy, gdzie dokonuje płatności.
Kwestionariusz SAQ A-EP. Kryteria wyboru tego kwestionariusza są prawie takie same, jak dla kwestionariusza SAQ A, z jednym wyjątkiem - w sklepie internetowym może istnieć własna strona do przyjmowania danych kart. Użytkownik nie jest przekierowywany na stronę dostawcy. Użytkownik wprowadza swoje dane płatnicze na stronie firmy zajmującej się e-commerce. Po wprowadzeniu danych, uzyskane od kupującego, są przesyłane dostawcy. Firma świadcząca usługę lub sprzedająca produkt nie przechowuje takich danych.
Kwestionariusz SAQ B. Ten kwestionariusz dotyczy tylko przypadków płatności w trybie face-to-face (twarzą w twarz). W praktyce wygląda to tak: klient przedstawia kartę do płatności, sprzedawca z kolei używa terminala płatniczego POS, który jest podłączony do banku za pośrednictwem linii telefonicznej lub sieci operatora komórkowego. Dla tego rodzaju płatności istnieje jedno ważne zastrzeżenie – terminal POS nie przechowuje danych płatniczych. Otrzymane dane natychmiast trafiają do banku. Używanie tego kwestionariusza obejmuje restauracje, sklepy, stacje paliw, itp.
Kwestionariusz SAQ B-IP. Kwestionariusz ten dotyczy przypadków podobnych do kwestionariusza SAQ B, ale z jednym małym warunkiem. Należy go używać, jeśli terminal zainstalowany w punkcie handlowym jest podłączony do banku przez Internet, przewodową sieć lub Wi-Fi. Ważne jest, aby pamiętać, że taki terminal POS musi być certyfikowany przez Radę PCI DSS.
Kwestionariusz SAQ C. Ten kwestionariusz jest stosowany w punktach handlowych, które przyjmują płatności kartą za pomocą komputerów w obecności płatnika. Na przykład, osoba wchodzi do biura podróży, przedstawia kartę, a dane karty wprowadzane są do systemu biura podróży w celu dokonania płatności. Jednym z ważnych warunków jest, że dane nie są przechowywane w komputerze sprzedawcy.
Kwestionariusz SAQ – VT. To kolejny rodzaj kwestionariusza samoopisowego. Przeznaczony jest dla sprzedawców korzystających z terminali programowych lub kiosków płatniczych.
Kwestionariusz SAQ P2PE. Ten kwestionariusz jest używany przez firmy handlowe, które akceptują płatności za towary i usługi za pomocą terminali płatniczych. Takie terminale są instalowane i podłączane do banku za pomocą specjalnej technologii, zapewniającej pełne szyfrowanie transakcji. Sama technologia szyfrowania musi mieć certyfikat od Rady PCI DSS. W tym przypadku bank musi dostarczyć certyfikat P2PE. Posiadanie takiego certyfikatu przez bank oznacza, że można go wybrać do współpracy.Ten kwestionariusz jest odpowiedni dla sieciowych sklepów, które instalują certyfikowane rozwiązania do przyjmowania płatności.
Kwestionariusz SAQ D dla sprzedawców. Ten kwestionariusz jest przeznaczony dla sprzedawców, którzy przechowują dane kartowe lub nie mieszczą się w żadnym z powyższych rodzajów kwestionariuszy.
Kwestionariusz SAQ D dla dostawców usług. Ostatni kwestionariusz jest przeznaczony dla dostawców usług, którzy świadczą usługi bankom lub firmom obsługującym transakcje handlowe.Ten kwestionariusz jest odpowiedni dla bram płatności, agregatorów płatności, centrów danych i innych rodzajów tego rodzaju biznesu.
W tym artykule krótko przedstawiliśmy czytelnikowi dziewięć różnych rodzajów kwestionariuszy SAQ.
Określenie, który rodzaj kwestionariusza należy wypełnić, a także samo wypełnianie kwestionariusza, to zadanie, które wymaga określonych umiejętności i doświadczenia.
Zaufaj wypełnianie kwestionariusza i certyfikację zgodnie ze standardem PCI DSS specjalistycznej firmie, w której pracuje zespół profesjonalistów, a otrzymasz:● odpowiedzi na wszystkie pytania;● właściwy dobór kwestionariusza SAQ;● wypełnienie kwestionariusza SAQ przez profesjonalnego audytora;● certyfikację zgodnie ze standardem PCI DSS.
Skontaktuj się z naszymi ekspertami za pomocą formularza zwrotnego.