SAQ

SAQ (Self-Assessment Questionnaire) — лист самооценки для организаций, которым необходимо соответствовать стандарту PCI DSS. Он используется в ситуациях, когда компания проходит облегченный аудит вместо ASV-сканирования.

Для прохождения SAQ должно выполняться одно из требований: заказчик не является финансовой организацией, процессинговым центром или глобальным провайдером, либо в течение года количество транзакций не превышает 300 000.

Типы SAQ

В зависимости от способа обработки электронных платежей лист самооценки подразделяют на восемь видов.

• Тип «A». Присваивается организациям, которые не используют банковские карты для оплаты. Они привлекают сторонние компании, которые прошли полный аудит в соответствии со стандартом PCI DSS. Они являются просто маршрутизатором денежных средств конечного пользователя.
• Тип «A-EP». Юрлицо имеет собственный сайт, но для оплаты привлекается третья сторона, которая прошла аудит. Данный вариант применяется к каналам электронной коммерции.
• Тип «B». Организации используют автономные терминалы, которые подключаются к провайдеру через телефонную линию для проведения оплаты.
• Тип «B-IP». Компания использует отдельно стоящие электронные терминалы, которые соответствуют стандарту PCI DSS. Подключение производится по протоколу TCP/IP.
• Тип «C-VT». Юрлицо для осуществления электронной транзакции каждый раз вводит вручную данные банковской карты в терминал. Он подключается к внешней сети через протокол TCP/IP и соответствует стандарту PCI DSS.
• Тип «C». Организация проводит платежи через POS-терминалы, которые подключены к сети интернет напрямую либо через прокси-сервер.
• Тип «P2PE». В данному случае компания использует только сертифицированные P2PE-продукты.
• Тип «D». Применим ко всем остальным компаниями, которые не соответствует типам выше.

Во всех вариация SAQ информация о владельце банковской карты не хранится, не передается и не обрабатывается на стороне организации.

Процесс заполнения самоопросного листа тяжелый из-за специфики формулировок. Если у заказчика возникают сложности, то рекомендуется обратиться к третьей стороне, которая обладает необходимыми сертификатами.

Компании, которые готовы оказать помощь при заполнении листа самооценки, проходят платное обучение внутреннему аудиту в соответствии со стандартом PCI DSS.