SAQ
Для прохождения SAQ должно выполняться одно из требований: заказчик не является финансовой организацией, процессинговым центром или глобальным провайдером, либо в течение года количество транзакций не превышает 300 000.
Типы SAQ
В зависимости от способа обработки электронных платежей лист самооценки подразделяют на восемь видов.
- Тип «A». Присваивается организациям, которые не используют банковские карты для оплаты. Они привлекают сторонние компании, которые прошли полный аудит в соответствии со стандартом PCI DSS. Они являются просто маршрутизатором денежных средств конечного пользователя.
- Тип «A-EP». Юрлицо имеет собственный сайт, но для оплаты привлекается третья сторона, которая прошла аудит. Данный вариант применяется к каналам электронной коммерции.
- Тип «B». Организации используют автономные терминалы, которые подключаются к провайдеру через телефонную линию для проведения оплаты.
- Тип «B-IP». Компания использует отдельно стоящие электронные терминалы, которые соответствуют стандарту PCI DSS. Подключение производится по протоколу TCP/IP.
- Тип «C-VT». Юрлицо для осуществления электронной транзакции каждый раз вводит вручную данные банковской карты в терминал. Он подключается к внешней сети через протокол TCP/IP и соответствует стандарту PCI DSS.
- Тип «C». Организация проводит платежи через POS-терминалы, которые подключены к сети интернет напрямую либо через прокси-сервер.
- Тип «P2PE». В данному случае компания использует только сертифицированные P2PE-продукты.
- Тип «D». Применим ко всем остальным компаниями, которые не соответствует типам выше.
Во всех вариация SAQ информация о владельце банковской карты не хранится, не передается и не обрабатывается на стороне организации.
Процесс заполнения самоопросного листа тяжелый из-за специфики формулировок. Если у заказчика возникают сложности, то рекомендуется обратиться к третьей стороне, которая обладает необходимыми сертификатами.
Компании, которые готовы оказать помощь при заполнении листа самооценки, проходят платное обучение внутреннему аудиту в соответствии со стандартом PCI DSS.