O SAQ (questionário de autoavaliação) é uma folha de autoavaliação para organizações que precisam estar em conformidade com o padrão PCI DSS. É usado em situações em que uma empresa passa por uma auditoria leve em vez de uma varredura ASV.
Para passar no SAQ, um dos Requisitos deve ser atendido: o cliente não é uma instituição financeira, centro de processamento ou provedor global, ou o número de transações não excede 300.000 durante o ano.
PCI DSS compliance
Tipos de SAQ
Dependendo do método de processamento de pagamentos eletrônicos, a folha de autoavaliação é dividida em oito tipos.
- Digite “A”. É atribuído a organizações que não utilizam cartões bancários para pagamento. Envolvem empresas terceirizadas que foram totalmente auditadas de acordo com o padrão PCI DSS. Eles são apenas um roteador de dinheiro do usuário final.
- Digite “a-EP”. A pessoa jurídica tem seu próprio site, mas um terceiro está envolvido para o pagamento, que foi auditado. Essa opção vale para os canais de e-commerce.
- Digite “B”. As organizações usam terminais autônomos que se conectam ao Provedor por meio de uma linha telefônica para efetuar pagamentos.
- Digite “B-IP”. A empresa utiliza terminais eletrônicos autônomos que atendem ao padrão PCI DSS. A conexão é feita via protocolo TCP/IP.
- Digite “C-VT”. Para realizar uma transação eletrônica, uma pessoa jurídica insere manualmente os dados do cartão bancário no terminal a cada vez. Ele se conecta a uma rede externa via protocolo TCP/IP e está em conformidade com o padrão PCI DSS.
- Digite “C”. A organização realiza pagamentos através de terminais POS conectados diretamente à Internet ou através de um servidor proxy.
- Digite “P2PE”. Neste caso, a empresa utiliza apenas produtos p2pe certificados.
- Digite “D”. Aplicável a todas as outras empresas que não correspondam aos tipos acima.
Em todas as variações do SAQ, as informações sobre o titular do cartão bancário não são armazenadas, transmitidas ou processadas pelo lado da organização.
O processo de preenchimento do auto-questionário é difícil devido às especificidades da redação. Caso o cliente tenha dificuldades, é recomendável entrar em contato com um terceiro que possua os certificados necessários.
As empresas que estão prontas para auxiliar no preenchimento da ficha de autoavaliação passam por treinamento remunerado de auditoria interna de acordo com a norma PCI DSS.