Todo lo que debes saber sobre los cuestionarios de autoevaluación (los SAQ) de PCI DSS

Todo lo que debes saber sobre los cuestionarios de autoevaluación (los SAQ) de PCI DSS

Por supuesto lo primero que hay que conocer es qué es un SAQ (Self-Assessment Questionnaire) de PCI DSS, o cuestionario de autoevaluación. Te sacamos de dudas: se trata de una herramienta de validación para que los comerciantes y proveedores de servicios puedan demostrar el cumplimiento de la norma mediante una autoevaluación que sigue las indicaciones del PCI Security Standards Council.

Pero ¿qué es la norma PCI DSS y quién debe cumplirla?

La normativa PCI DSS es un estándar de seguridad que tiene como objetivo reducir el fraude relacionado con las tarjetas de crédito e incrementar la seguridad de los datos que intervienen en las transacciones online.
Esta normativa, desarrollada por las principales empresas de tarjetas de crédito (VISA, MasterCard, Discover, JCB y AMEX) busca garantizar la protección de los datos y la seguridad de las transacciones online. No importa la actividad a la que se dedique tu organización. Si procesas, guardas o transmites datos de tarjetas debes cumplir con el estándar o corres el riesgo de perder tu permiso para procesar tarjetas, de enfrentarte a rigurosas auditorías o ser sancionado con el pago de cuantiosas multas.

Niveles de certificación PCI DSS en función del número de transacciones anuales

Existen cuatro niveles de certificación en función del número de transacciones anuales de la organización. Dentro de estos niveles, el 3 y el 4 pueden realizar los cuestionarios de autoevaluación para obtener su certificado de cumplimiento de la norma. Para el nivel 1 y 2 contacta con nosotros.

  • Nivel 4 – Hasta 20.000 transacciones anuales.
  • Nivel 3 – De 20.000 a 1 millón de transacciones anuales.
  • Nivel 2 – De 1 millón a 6 millones de transacciones anuales.
  • Nivel 1 – Más de 6 millones de transacciones anuales.

¿Qué validez tiene el SAQ de PCI?

Una vez completado el cuestionario la compañía cuenta con una validez de un año. Las preguntas requieren respuestas de tipo “sí/no” y tras responder a todas las cuestiones se obtiene un certificado que confirma su cumplimiento con PCI. Hay cuestionarios diferentes para distintos tipos de empresas dependiendo de su modo de aceptar pagos con tarjetas.

Tipos de auto evaluaciones SAQ de PCI:

  • A – Comercios que han delegado todas las funciones relacionadas con tarjetas de pago en un tercero validado en PCI DSS, de tal forma que el comercio en cuestión únicamente almacena reportes o recibos en papel con datos de tarjetas. E-commerce, pedidos por correo o teléfono (MOTO)
  • A-EP –  Comercio electrónico como canal de pagos y cuyo sitio web no recibe datos de tarjetas de pago pero puede afectar la seguridad de la transacción y/o de la integridad de la página que acepta los datos de tarjeta de pago provenientes del cliente. E-commerce
  • B – Comercios que procesan datos tarjetas de pago únicamente por medio de máquinas impresoras o terminales independientes con discado externo. Tienda Física, MOTO.
  • B-IP – Comercios que procesan datos tarjetas de pago únicamente por medio de dispositivos de punto de interacción (point-of-interaction (POI)) aprobados por PCI PTS y con una conexión IP a un procesador de pagos. Tienda Física, MOTO.
  • C – Comercios cuya aplicación de pago (por ejemplo, un sistema de punto de venta) está conectada a Internet (por ejemplo, a través de DSL, cable módem, etc). Tienda Física, MOTO.
  • C-VT – Comercios quienes procesan datos de tarjetas de pago únicamente a través de una terminal de pago virtual aislada en un ordenador personal conectado a Internet. Tienda Física, MOTO.
  • P2PE – Comercios que están empleando terminales de pago de hardware incluidas y gestionadas por un proveedor certificado P2PE, sin almacenamiento electrónico de datos de tarjetas de pago. Tienda Física, MOTO.
  • D – El resto de comercios y todos los proveedores de servicios. E-Commerce, Tienda física y MOTO

¿A qué esperas para cumplir con PCI DSS?

No esperes más para cumplir con PCI DSS y:

  • Garantiza la protección de datos y la seguridad en las transacciones económicas online.
  • Minimiza el fraude al mismo tiempo que evitas cuantiosas sanciones por el incumplimiento de PCI DSS.
  • Transmite confianza y seguridad a los consumidores de los establecimientos u organizaciones asociadas.
  • Implementa las buenas prácticas de seguridad recogidas en la norma.

¡QUIERO CERTIFICARME! INICIAR CUESTIONARIO

Para conocer más en profundidad este tema o resolver cualquier cuestión, no dudes en consultar a nuestro equipo de expertos.