martes, 9 de abril de 2013

¿Cual es mi SAQ?


Todos los comercios que transaccionan con datos de tarjeta, están obligados a cumplir íntegramente con las normas PCI DSS. Esto incluye cualquier tipo de comercio, independientemente de su sector y del volumen de transacciones de tarjeta que realicen anualmente. Es decir, que si nuestro comercio realiza 1 transacción de tarjeta cada año, estará tan obligado a cumplir con PCI como un comercio que realice varias decenas de millones de transacciones al año.

Sin embargo, el modo en el que cada comercio debe demostrar su cumplimiento con las normas sí que varía en función del volumen, y por lo tanto del riesgo que un compromiso de los datos puede llegar a suponer.

El método mediante el cual un comercio a de demostrar su cumplimiento lo determina en cada caso la entidad adquirente de cada comercio. En el caso de comercios con un volumen de transacciones pequeño o mediano, lo más probable es que el banco adquiriente únicamente exija al comercio que rellene y entre su SAQ anualmente.

¿Y qué es eso del SAQ?

Los cuestionarios de auto-evaluación (en inglés SAQ por Self Assessment Questionary) son una herramienta para ayudar a evaluar aquellos comercios o proveedores de servicios que no están obligados a llevar a cabo una auditoría presencial de cumplimiento con el estándar PCI DSS por parte de un auditor QSA.

Existen diferentes versiones de los SAQ para cubrir las diferentes tipologías de comercios. El documento "Instructions and guidelines" proporciona la guía sobre cómo se deben rellenar los SAQ y cual aplica a cada tipo o escenario de comercio.

A su vez, cada SAQ se compone de dos documentos:
  • Conjunto de preguntas del tipo sí/no que es el SAQ propiamente dicho.
  • Documento AoC (del inglés Attestation of Compliance) en el que el comercio da fe de que los aspectos del estándar que dice estar cumpliendo, realmente los está cumpliendo.

Echémosle un ojo a cada tipo de SAQ y veamos qué comercios pueden utilizar cada uno de ellos. Recordad que podéis descargar todos ellos de la página del PCI Council.


SAQ A: Comercios que transaccionan de manera no presencial y que tienen todos los sistemas de pago externalizados.
Este cuestionario está orientado a los comerciantes que únicamente almacenan informes o recibos en formato papel con datos de tarjeta, no almacenando en ningún caso datos de titulares de tarjeta en formato electrónico y no procesando ni transmitiendo datos de titulares de tarjeta en sus sistemas locales. Para poder usar este cuestionario se deben cumplir además las siguientes premisas:
  • El comercio únicamente debe de aceptar transacciones no presenciales (por teléfono, correo electrónico, correo tradicional, etc...)
  • El comercio no debe almacenar, procesar ni transmitir datos de tarjeta en sus sistemas, debiendo depender totalmente de un tercero (que deberá cumplir con PCI DSS) para realizar todas las gestiones que incluyan datos de tarjeta.

SAQ B: Comercios que procesan datos de tarjeta únicamente mediante terminales independientes con conexión directa a los centros autorizadores.

Dentro de esta categoría se pueden englobar tanto comercios que transaccionen presencialmente como comercios que lo hagan por comercio electrónico u otros medios no presenciales siempre y cuando se cumplan las siguientes premisas:
  • El comercio usa únicamente terminales independientes con conexión telefónica directa a los centros autorizadores.
  • Estos terminales no están conectados a Internet ni a ningún otro sistema del comercio.
  • El comercio no transmite datos de tarjeta en ningún caso a través de su red interna o de Internet.
  • El comercio únicamente almacena datos de tarjeta mediante informes o recibos en formato papel (que no son en ningún caso recibidos o transmitidos por medios electrónicos).
  • El comercio no almacena en ningún caso datos de tarjetas en formato electrónico.

SAQ C: Comercios que procesan datos de tarjeta a través de aplicaciones (por ejemplo TPVs) conectados a Internet pero que en ningún caso almacenan datos de tarjeta en ningún sistema de su red.

Para poder utilizar el SAQ C se deben dar, además, las siguientes condiciones:
  • El comercio dispone de una aplicación de pago instalada en un sistema con conexión a Internet, o bien en un sistema ubicado en una LAN con conexión a Internet.
  • La aplicación de pago no debe estar conectado con otros sistemas dentro del Comercio, es decir, debe existir una segmentación válida desde el punto de vista de PCI DSS entre el sistema de pago y cualquier otro dispositivo del comercio.
  • No se interconectan en una LAN extendida varias tiendas del mismo comercio, es decir, cada tienda de un comercio cuenta con su propia LAN independiente y no interconectada con el resto de tiendas.
  • Si el comercio almacena datos de tarjetas lo hace únicamente en formato papel, nunca en formato electrónico.
  • El proveedor de la aplicación de pago proporciona métodos seguros para proporcionar soporte sobre su sistema o aplicación (únicamente soporte presencial, acceso remoto mediante VPN, etc..)
Así mismo, cabe señalar que existe un modelo de SAQ C especial (SAQ C-VT) para aquellos comercios que encajan con los criterios para usar el SAQ C pero que, además, su aplicación de pago es un Terminal Virtual basado en tecnologías Web (nunca podrá ser de aplicación para comercios basados en el e-commerce):
  • El único procesado de datos de tarjeta del comercio se realiza mediante un terminal virtual ubicado en Internet al que se accede mediante un explorador web.
  • La solución de Terminal Virtual debe estar proporcionada por un proveedor de servicios que cumpla con PCI DSS.
  • El comercio debe acceder al Terminal Virtual a través de un PC instalado en una ubicación individual y no conectada con otros PC o sistemas del comercio (en todo caso, debería estar adecuadamente segmentado mediante firewall o routers con ACL).
  • El PC del comercio no debe tener ningún software que ocasione que los datos de tarjeta se almacenen en el equipo u en otra localización.
  • El PC no debe tener ningún dispositivo de hardware conectado que pueda utilizarse para capturar o almacenar datos de tarjeta (por ejemplo, lectores de tarjeta).
  • El comercio no debe recibir datos de tarjeta electrónicamente a través de ningún otro canal como podría ser la red interna o Internet.
  • El comercio no almacena en ningún caso datos de tarjeta en ningún formato electrónico.

SAQ D: Finalmente, el último tipo de auto-cuestionario de evaluación es el SAQ D, que será de aplicación para todo el resto de comercios que no encajen en las descripciones realizadas para los SAQ A, B, C y C-VT.


No hay comentarios: