Se la tua organizzazione gestisce qualsiasi tipo di dati di titolari di carta, probabilmente avrai sentito parlare dei questionari di autovalutazione.
Un questionario di autovalutazione (Self-Assessment Questionnaire, SAQ) è una relazione formale sulla conformità di un'organizzazione allo standard di sicurezza dei dati del settore delle carte di pagamento (Payment Card Industry Data Sicurezza Standard, PCI DSS). Valuta se un esercente o un fornitore di servizi ha adottato le misure necessarie per proteggere i dati dei titolari di carta e documenta la sua posizione complessiva in materia di sicurezza.
Il processo di completamento di un SAQ è diverso per ogni organizzazione. Prima ancora di iniziare la valutazione, puoi scegliere tra nove diversi tipi di SAQ, a seconda del processo specifico, del metodo di pagamento e dell'ambiente dei titolari di carta.
Di seguito illustreremo ogni tipo di SAQ disponibile, con le caratteristiche che ciascuno di questi comporta e le modalità per individuare quello più adatto al tuo ambiente.
Che cos'è un questionario di autovalutazione per il PCI DSS?
I questionari di autovalutazione per lo standard di sicurezza dei dati del settore delle carte di pagamento sono uno strumento di convalida progettato per aiutare esercenti e fornitori di servizi a valutare e segnalare la conformità a questo standard.
Ogni SAQ inizia con una sezione preliminare che delinea il tipo di ambiente dei titolari di carta coperto dal questionario specifico. Successivamente, verrà posta una serie di domande ''sì'' o ''no'' su tutti gli aspetti delle attività di elaborazione delle carte di pagamento e dei controlli di sicurezza dell'organizzazione. Le domande riguardano argomenti quali la sicurezza della rete, la configurazione del sistema e il controllo degli accessi.
Gli SAQ includono anche l'Attestazione di conformità (Attestation of Compliance, AOC), che funge da dichiarazione formale della conformità dell'organizzazione ai requisiti del PCI DSS.
In sintesi, l'intero questionario di autovalutazione comprende tre sezioni.
- Sezione 1: valutazione delle informazioni e riepilogo per l'esecutivo (parti 1 e 2 dell'Attestazione di conformità).
- Sezione 2: questionario di autovalutazione per il PCI DSS.
- Sezione 3: dettagli di convalida, attestazione e piano d'azione per i requisiti non conformi (se applicabile, parti 3 e 4 dell'Attestazione di conformità).
Gli SAQ sono disponibili online o in formato PDF scaricabile.
Chi deve compilare un questionario di autovalutazione per il PCI DSS?
Non tutte le organizzazioni sono idonee per l'autovalutazione. Gli esercenti e i fornitori di servizi con bassi volumi di transazioni possono presentare un questionario di autovalutazione per dimostrare la conformità al PCI DSS. Questo vale per gli esercenti che elaborano meno di 6 milioni di transazioni con carta di pagamento all'anno e per i fornitori di servizi che elaborano meno di 300.000 transazioni.
Invece, le organizzazioni con un alto numero di transazioni annuali sono tenute a presentare un più approfondito Rapporto sulla conformità (Report on Compliance, ROC).
Per saperne di più sui diversi livelli relativi a esercenti e fornitori di servizi, consulta il PCI DSS.
Le organizzazioni devono consultare la propria banca o la compagnia che utilizzano per elaborare i pagamenti per poter ottenere maggiori informazioni sulla determinazione dell'idoneità a presentare un SAQ e su quale questionario sia appropriato per il proprio ambiente di titolari di carta.
Quale questionario di autovalutazione per il PCI DSS si adatta meglio alla tua azienda?
Esistono nove tipi di questionari di autovalutazione per il PCI DSS: otto per gli esercenti e uno per i fornitori di servizi.* Determinare quale sia più appropriato per la tua organizzazione dipende da due fattori: se sei un esercente o un fornitore di servizi e come elabori i pagamenti con carta.
Esamina le spiegazioni seguenti per determinare il tipo di SAQ più adatto alla tua organizzazione.
SAQ A
Adatto ad esercenti che non utilizzano carte (e-commerce o ordini per posta/telefono) e che hanno completamente esternalizzato tutte le funzioni relative ai dati dei titolari di carta a fornitori di servizi terzi conformi agli standard del PCI DSS. Questi esercenti non memorizzano, elaborano o trasmettono elettronicamente i dati dei titolari di carta nei propri sistemi o locali. Non applicabile ai canali basati su interazioni che avvengono di persona.
SAQ A-EP
Adatto ad esercenti di e-commerce che esternalizzano tutta l'elaborazione dei pagamenti a terze parti conformi al PCI DSS, così come quelli che hanno siti web che non ricevono direttamente i dati dei titolari di carta, ma che potrebbero avere un impatto sulla sicurezza delle transazioni di pagamento. Questi esercenti non memorizzano, elaborano o trasmettono elettronicamente i dati dei titolari di carta nei propri sistemi o locali. Applicabile solo ai canali di e-commerce.
SAQ B
Esercenti che utilizzano solo: macchine senza archiviazione elettronica dei dati dei titolari di carta e/o terminali indipendenti senza archiviazione elettronica dei dati dei titolari di carta. Non applicabile ai canali di e-commerce.
SAQ B-IP
Adatto ad esercenti che utilizzano solo terminali di pagamento PTS (PIN Transaction Security) e dotati di una connessione IP al processore di pagamento. Questi terminali non memorizzano i dati elettronici dei titolari di carta. Non applicabile ai canali di e-commerce.
SAQ C-VT
Adatto ad esercenti che inseriscono manualmente le transazioni, una alla volta, tramite tastiera, in un terminale di pagamento virtuale basato su Internet, fornito e ospitato da un fornitore di servizi di terze parti conforme al PCI DSS. Questi esercenti non memorizzano i dati dei titolari di carta. Non applicabile ai canali di e-commerce.
SAQ C
Adatto ad esercenti che utilizzano applicazioni di pagamento collegate a Internet che non memorizzano i dati elettronici dei titolari di carta. Non applicabile ai canali di e-commerce.
SAQ P2PE-HW
Adatto ad esercenti che utilizzano solo terminali di pagamento fisici inclusi e gestiti tramite una soluzione di crittografia point-to-point (P2PE) convalidata e inserita nell'elenco del PCI SSC. Questi esercenti non memorizzano i dati elettronici dei titolari di carta. Non applicabile ai commercianti di e-commerce.
SAQ D
SAQ D per esercenti Adatto a tutti gli esercenti che non sono inclusi nelle descrizioni dei tipi di SAQ qui menzionati.
SAQ D per i fornitori di servizi Adatto a tutti i fornitori di servizi definiti da una compagnia di elaborazione dei pagamenti come idonei a completare un SAQ.
