Een zelfbeoordelingsvragenlijst (SAQ) is een validatie-instrument dat wordt gebruikt om te beoordelen of u voldoet aan DSS -vereisten DSS Payment Card Industry Data Security Standard).
Alle handelaren die kaartbetalingen accepteren, moeten jaarlijks een SAQ invullen om aan te tonen dat ze veilig omgaan met kaartgegevens, zoals voorgeschreven door de PCI Security Standards Council (PCI SSC):
PCI DSS .0 SAQ D – Sectie 11.3.2.1
(Vereist attestatie-item in elke SAQ die van toepassing is op omgevingen met internetverbinding)
"Elk SAQ-type dat van toepassing is op handelaren met internetverbinding bevat een controle die de naleving van vereiste 11.3.2.1 verifieert."
— PCI Security Standards Council (PCI SSC)
Er zijn verschillende SAQ-types (A, A-EP, B, B-IP, C, C-VT, D, P2PE), elk afgestemd op verschillende scenario's voor betalingsverwerking. Het type dat u nodig hebt, hangt af van:
- Hoe u kaartbetalingen accepteert (e-commerce, terminal, handmatige invoer, enz.)
- Of kaartgegevens door uw systemen stromen
- Uw betalingsverwerkingsvolume
SAQ Ais bedoeld voor handelaren die alle functies met betrekking tot kaartgegevens volledig hebben uitbesteed aan DSS PCI DSS externe dienstverleners. Deze handelaren slaan geen kaartgegevens op, verwerken deze niet en verzenden deze niet via hun systemen of gebouwen. Deze SAQ is van toepassing op e-commerce of post-/telefonische bestellingen (kaart niet aanwezig) en is niet van toepassing op face-to-face-kanalen.
SAQ A-EPis bedoeld voor e-commercebedrijven die alle betalingsverwerking uitbesteden aan DSS derde partijen, maar een website hebben die van invloed kan zijn op de veiligheid van de betalingstransactie. Deze bedrijven slaan geen kaartgegevens op, verwerken deze niet en verzenden deze niet via hun systemen of gebouwen.
SAQ Bis bedoeld voor handelaren die uitsluitend gebruikmaken van afdrukapparatuur of stand-alone, uitgaande terminals zonder elektronische opslag van kaartgegevens. Deze SAQ is niet van toepassing op e-commercekanalen.
SAQ B-IPis bedoeld voor handelaren die uitsluitend gebruikmaken van zelfstandige, PTS-goedgekeurde betaalterminals met een IP-verbinding met de betalingsverwerker, zonder elektronische opslag van kaartgegevens. Deze SAQ is niet van toepassing op e-commercekanalen.
SAQ C-VTis bedoeld voor handelaren die handmatig één transactie tegelijk via een toetsenbord invoeren in een internetgebaseerde Virtuele terminal die wordt aangeboden en gehost door een DSS externe dienstverlener. Deze handelaren slaan geen elektronische kaartgegevens op.
SAQ Cis bedoeld voor handelaren met betalingsapplicatiesystemen die zijn aangesloten op het internet, maar die geen elektronische kaartgegevens opslaan. Deze SAQ is niet van toepassing op e-commercekanalen.
SAQ P2PEis bedoeld voor handelaren die uitsluitend gebruikmaken van betaalterminals die zijn opgenomen in en worden beheerd via een gevalideerde, door PCI SSC geregistreerde Point-to-Point Encryption (P2PE)-oplossing, zonder elektronische opslag van kaartgegevens. Deze SAQ is niet van toepassing op e-commercekanalen.
SAQ D voor handelarenis bedoeld voor alle handelaren die niet onder de beschrijvingen voor de bovenstaande SAQ-types vallen. Dit omvat handelaren die kaartgegevens elektronisch opslaan, verwerken of verzenden.
SAQ D voor dienstverlenersis bedoeld voor alle dienstverleners die door een betaalmerk zijn aangemerkt als geschikt om een zelfbeoordelingsvragenlijst in te vullen. Deze SAQ is de enige optie voor dienstverleners en heeft betrekking op de elektronische opslag, verwerking of verzending van kaartgegevens.
PCI Portal
Ons Portal het proces van het uitvoeren en implementeren van de resultaten van SAQ's, waardoor het gemakkelijker wordt om te zorgen dat DSS wordt gehandhaafd.
