Девять типов самоопросных анкет SAQ по PCI DSS

Девять типов самоопросных анкет SAQ по PCI DSS

Также читайте статью “Сертификат PCI DSS”


Сертификация по стандарту PCI DSS возможна по облегчённой процедуре. Как определить, будет ли сертификация проходить по облегчённой процедуре?

Если компания не является банком, процессинговым центром или глобальным ритейлером, а также осуществляет не более чем 300 тыс. транзакций в течение года, в таком случае сертификация PCI DSS возможна по облегчённой процедуре.

Это значит, что для получения сертификата полный аудит проходить не нужно. Нет смысла приглашать сертифицированного аудитора в компанию потому, что необходимую оценку для соответствия стандарту PCI DSS можно пройти удалённо.

Для подтверждения соответствия требуется заполнить так называемую самоопросную анкету SAQ. Бланк самоопросной анкеты SAQ можно найти на сайте Совета PCI DSS.

Самостоятельное заполнение анкеты SAQ – дело очень проблематичное из-за специфичности формулировок. Даже Совет PCI DSS рекомендует перед заполнением анкеты пройти обучение и сертифицироваться по программе внутреннего аудитора PCI DSS. Такая процедура обучения сотрудника может быть длительной и дорогой. Да и зачем создавать внутри компании штатного аудитора, который после обучения захочет продать свои новые навыки подороже?

Мы рекомендуем для заполнения анкеты SAQ обращаться к компаниям, профессионально занимающимися всем, что связано с сертификацией по стандарту PCI DSS. Наша компания «IT Специалист» – это именно та компания, которая без проблем заполнит анкету SAQ и проведёт сертификацию по стандарту PCI DSS для вашего бизнеса.

На данный момент существует девять различных вариантов анкет SAQ. В зависимости от способа обработки платёжных карт требуется заполнение соответствующей анкеты.

Изначально, когда стандарт PCI DSS создавался, было всего 4 типа анкет: A, B, C, D.  Эти буквенные обозначения сохранились и сегодня.  С развитием технологий обработки карточных данных появлялись анкеты, отражающие специфику новых технологий, для них применили расширенное буквенное обозначение. К примеру, появились анкеты A-EP или B-IP.

Давайте кратко рассмотрим анкеты каждого типа.

ВОЗНИКЛИ ВОПРОСЫ?

получите консультацию у наших экспертов абсолютно бесплатно

Связаться

Анкета SAQ A – это самая простая и самая короткая анкета, она предназначена для тех компаний, которые не хранят карточные данные. Такие компании называют e-commerce, и они принимают платежи по картам только через онлайн-системы. При этом приём карточных данных и их обработка осуществляются сторонним провайдером – банком или процессинговым центром.

Примерами таких компаний являются интернет-магазины, сайты по продаже различных билетов, сервисы для бронирования гостиниц и другие виды онлайн-торговли. В данном случае у таких компаний нет своей страницы платежей. Во время покупки пользователь перенаправляется на страницу провайдера, где и осуществляется оплата.

Анкета SAQ A-EP. Критерии выбора данной анкеты практически те же, что и анкеты SAQ A, с одним уточнением –  у онлайн-магазина может быть своя собственная страничка приёма данных карт. Пользователь не перенаправляется на страницу провайдера. Пользователь вводит свои данные для оплаты на странице компании, занимающейся e-commerce. После ввода данные, полученные от покупателя, направляются провайдеру. Хранение подобных данных компанией, предоставляющей услугу или товар, не производится.

Анкета SAQ В. Данная анкета применима только в том случае, когда платеж происходит в варианте face-to-face (лицом к лицу). В реальности это происходит так: клиент предъявляет карточку для оплаты, продавец, в свою очередь, использует платёжный POS-терминал, который подключен к банку через телефонную линию или сеть мобильного оператора. При такой оплате есть одно важное условие – POS-терминал не хранит платёжные данные. Полученные данные сразу отправляются в банк.

Использование этой анкеты распространяется на рестораны, магазины, автозаправки и так далее.

Анкета SAQ В-IP. Анкета применима в тех же случаях, что и Анкета SAQ В, но с небольшим условием. Её следует использовать, если установленный в торговой точке терминал подключается к банку через интернет, проводную сеть или Wi-Fi.

Важно помнить о том, что такой POS-терминал должен быть сертифицирован Советом PCI DSS.


Также читайте статью “Сертификат PCI DSS для турфирм”


Анкета SAQ С. Эта анкета применяется в тех торговых организациях, которые принимают платежи по карте с использованием компьютеров в присутствии плательщика. К примеру, человек приходит в турагентство, предъявляет карточку, и данные его карточки вносятся в программу туроператора для проведения оплаты. При этом, важным требованием является то, что данные не сохраняются в компьютере продавца.

Анкета SAQ С – VT. Ещё один вид самоопросной анкеты. Она предназначена для продавцов, которые используют программные терминалы или платёжные киоски.

Анкета SAQ P2PE. Эту анкету используют те торговые компании, которые принимают оплаты за свои товары и услуги через платёжные терминалы. Такие терминалы устанавливаются и подключаются банком по специальной технологии, обеспечивающей полное шифрование транзакций. Сама технология шифрования должна иметь сертификат от Совета PCI DSS. При этом банк должен предоставить сертификат P2PE. Наличие такого сертификата у банка означает, что он может быть выбран для сотрудничества.

Эта анкета подходит сетевым магазинам, которые для приёма платежей устанавливают сертифицированные решения.

Анкета SAQ D for merchants. Данная анкета предназначена для тех продавцов, которые хранят карточные данные или не подпадают ни под один из вышеперечисленных типов анкет.

Анкета SAQ D for service providers.  Последняя анкета предназначена для сервис-провайдеров, которые предоставляют свои услуги банкам либо торгово-сервисным предприятиям.

Данная анкета подходит для платёжных шлюзов, агрегаторов платежей, дата-центров и других видов подобного бизнеса.

В этой статье мы кратко познакомили читателя с девятью разновидностями SAQ анкет.

Определение того, какой вид анкеты необходимо заполнить, и непосредственно само заполнение анкеты – дело, требующее определённых знаний и навыков.

Доверьте заполнение анкеты и сертификацию по стандарту PCI DSS специализированной компании, в которой работает команда профессионалов, и вы получите:

  • ответы на все свои вопросы;
  • правильный подбор SAQ анкеты;
  • заполнение SAQ анкеты профессиональным аудитором;
  • прохождение сертификации по стандарту PCI DSS.

Также читайте статью “Сертификация PCI DSS в Украине”


ХОТИТЕ ЗАКАТЬ СЕРТИФИКАЦИЮ?

Узнайте как или задайте интересующий Вас вопрос нашим экспертам