SAQ
SAQ (Self-Assessment Questionnaire) — лист самооценки для организаций, которым необходимо соответствовать стандарту PCI DSS. Он используется в ситуациях, когда компания проходит облегченный аудит вместо ASV-сканирования.
Для прохождения SAQ должно выполняться одно из требований: заказчик не является финансовой организацией, процессинговым центром или глобальным провайдером, либо в течение года количество транзакций не превышает 300 000.
[text_with_btn btn=»Подробнее» link=»/ru-by/services/info-security/certification-pci-dss/» btn_size=»small»]Соответствие PCI DSS[/text_with_btn]Типы SAQ
В зависимости от способа обработки электронных платежей лист самооценки подразделяют на восемь видов.
- Тип «A». Присваивается организациям, которые не используют банковские карты для оплаты. Они привлекают сторонние компании, которые прошли полный аудит в соответствии со стандартом PCI DSS. Они являются просто маршрутизатором денежных средств конечного пользователя.
- Тип «A-EP». Юрлицо имеет собственный сайт, но для оплаты привлекается третья сторона, которая прошла аудит. Данный вариант применяется к каналам электронной коммерции.
- Тип «B». Организации используют автономные терминалы, которые подключаются к провайдеру через телефонную линию для проведения оплаты.
- Тип «B-IP». Компания использует отдельно стоящие электронные терминалы, которые соответствуют стандарту PCI DSS. Подключение производится по протоколу TCP/IP.
- Тип «C-VT». Юрлицо для осуществления электронной транзакции каждый раз вводит вручную данные банковской карты в терминал. Он подключается к внешней сети через протокол TCP/IP и соответствует стандарту PCI DSS.
- Тип «C». Организация проводит платежи через POS-терминалы, которые подключены к сети интернет напрямую либо через прокси-сервер.
- Тип «P2PE». В данному случае компания использует только сертифицированные P2PE-продукты.
- Тип «D». Применим ко всем остальным компаниями, которые не соответствует типам выше.
Во всех вариация SAQ информация о владельце банковской карты не хранится, не передается и не обрабатывается на стороне организации.
Процесс заполнения самоопросного листа тяжелый из-за специфики формулировок. Если у заказчика возникают сложности, то рекомендуется обратиться к третьей стороне, которая обладает необходимыми сертификатами.
Компании, которые готовы оказать помощь при заполнении листа самооценки, проходят платное обучение внутреннему аудиту в соответствии со стандартом PCI DSS.