Aceitar cartões de pagamento abrange indústrias, mesmo empresas que não se considerariam necessariamente um “comerciante” em termos de varejistas tradicionais de tijolo e argamassa. No entanto, qualquer empresa que aceite pagamento via cartões de débito e/ou crédito deve cumprir o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Algumas empresas optam por segmentar o ambiente do titular do cartão e gerenciá-lo por suas próprias políticas e padrões exclusivos. Outras empresas atendem aos requisitos do PCI DSS como parte de suas políticas e padrões gerais. De qualquer forma, funciona e o ComplianceForge oferece soluções para ambas as abordagens!

Que tipo de Questionário de Autoavaliação (SAQ) Você É?

Os SAQs são requisitos para comerciantes menores e provedores de serviços que não são obrigados a enviar um Relatório de Conformidade (ROC). Ele foi projetado como uma ferramenta de autovalidação para avaliar a segurança dos dados do titular do cartão que usa uma série de perguntas de sim ou não para cada requisito PCI DSS aplicável.

Existem diferentes questionários disponíveis para atender a diferentes ambientes de comerciantes. Os comerciantes são obrigados a identificar o SAQ que melhor descreve como ele aceita cartões de pagamento. Algumas organizações podem até precisar preencher diferentes SAQs, com base em diferentes métodos de aceitação de pagamento (por exemplo, SAQ A para seu site e SAQ C para seus locais de lojas “tijolo e argamassa”). Se você não tiver certeza de qual questionário se aplica a você, entre em contato com seu provedor de serviços comerciais para obter assistência ou revise a orientação oficial do PCI Security Standards Council sobre “avaliar a segurança dos dados do titular do cartão” para ajudar a determinar o tipo SAQ apropriado para sua organização https://www.pcisecuritystandards.org/pci_security/completing_self_assessment

A ComplianceForge vende suas Políticas e Padrões PCI DSS com base no tipo SAQ (mostrado abaixo):

Tipo SAQMétodo de Aceitação de Cartões de PagamentoComércio eletrônicoPresencial
Um

Comerciantes sem cartão (comércio eletrônico ou pedido por correio/telefone) que terceirizaram totalmente todas as funções de dados do titular do cartão para provedores de serviços terceirizados compatíveis com o PCI DSS, sem armazenamento, processamento ou transmissão eletrônicos de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante.

Não aplicável a canais presenciais.

SimNão
A-EP

Comerciantes de comércio eletrônico que terceirizam todo o processamento de pagamentos para terceiros validados pelo PCI DSS e que têm um (s) site (s) que não recebe diretamente os dados do titular do cartão, mas que pode afetar a segurança da transação de pagamento. Nenhum armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante.

Aplicável apenas a canais de e-commerce.

SimNão
BComerciantes que usam apenas:
  • Máquinas de impressão sem armazenamento eletrônico de dados do titular do cartão; e/ou
  • Terminais discados autônomos sem armazenamento eletrônico de dados do titular do cartão.
Não aplicável a canais de e-commerce.
NãoSim
B-IP

Comerciantes que usam apenas terminais de pagamento autônomos aprovados pelo PTS com uma conexão IP com o processador de pagamento, sem armazenamento eletrônico de dados do titular do cartão.

Não aplicável a canais de e-commerce.

NãoSim
C

Comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem armazenamento eletrônico de dados do titular do cartão.

Não aplicável a canais de e-commerce.

NãoSim
C-VT

Comerciantes que inserem manualmente uma única transação de cada vez por meio de um teclado em uma solução de terminal virtual baseada na Internet que é fornecida e hospedada por um provedor de serviços terceirizado validado pelo PCI DSS. Não há armazenamento eletrônico de dados do titular do cartão.

Não aplicável a canais de e-commerce.

NãoSim
D(Comerciante)Todos oscomerciantesnão incluídos nas descrições dos tipos acima.SimSim
D(Provedor de Serviços)Todos osprestadores de serviçosdefinidos por uma marca de cartão de pagamento como elegíveis para completar um SAQ.N/AN/A

Você pode clicar na matriz abaixo para obter um PDF para download que mostra os controles PCI DSS v4 à medida que se aplicam aos níveis de SAQ:

pci-dss-v4-saq-policies-standards.jpg

Políticas e Padrões PCI DSS

Para os tipos de SAQ listados acima, o ComplianceForge oferece os seguintes modelos de políticas e padrões de segurança cibernética do PCI DSS v4.0:

     
image SAQ A - PCI DSS v4.0 - Políticas e Padrões $975,00 ESCOLHA OPÇÕES
image SAQ A-EP - PCI DSS v4.0 - Políticas e Padrões $975,00 ESCOLHA OPÇÕES
image SAQ B - PCI DSS v4.0 - Políticas e Padrões $1.100,00 ESCOLHA OPÇÕES
image SAQ B-IP - PCI DSS v4.0 - Políticas e Padrões $1.100,00 ESCOLHA OPÇÕES
image SAQ C - PCI DSS v4.0 - Políticas e Padrões $1.350,00 ESCOLHA OPÇÕES
image SAQ C-VT - PCI DSS v4.0 - Políticas e Normas $1.350,00 ESCOLHA OPÇÕES
image SAQ D-Merchant - PCI DSS v4.0 - Políticas e Padrões $1.550,00 ESCOLHA OPÇÕES
image SAQ D-Service Provider - PCI DSS v4.0 - Políticas e Padrões $1.550,00 ESCOLHA OPÇÕES

Artigo Original