SAQ (Self-Assessment Questionnaire) is een zelfbeoordelingsformulier voor organisaties die moeten voldoen aan de PCI DSS—standaard. Het wordt gebruikt in situaties waarin een bedrijf een lichte audit ondergaat in plaats van een ASV-scan.
Om de SAQ te halen, moet aan een van de vereisten worden voldaan: de klant is geen financiële instelling, verwerkingscentrum of wereldwijde leverancier, of het aantal transacties overschrijdt niet 300.000 gedurende het jaar.
PCI DSS compliance
Soorten SAQ
Afhankelijk van de wijze waarop elektronische betalingen worden verwerkt, is het zelfbeoordelingsformulier verdeeld in acht soorten.
- Type “A”. Het wordt toegewezen aan organisaties die geen bankkaarten gebruiken voor betaling. Het gaat om externe bedrijven die volledig zijn gecontroleerd in overeenstemming met de PCI DSS-norm. Ze zijn gewoon een eindgebruiker geld router.
- Type “A-EP”. De rechtspersoon heeft een eigen website, maar een derde partij is betrokken bij de betaling, die is gecontroleerd. Deze optie geldt voor e-commerce kanalen.
- Type “B”. Organisaties gebruiken stand-alone terminals die via een telefoonlijn verbinding maken met de provider om betalingen te verrichten.
- Type “B-IP”. Het bedrijf maakt gebruik van vrijstaande elektronische terminals die voldoen aan de PCI DSS-standaard. De verbinding wordt gemaakt via het TCP / IP-protocol.
- Type “C-VT”. Om een elektronische transactie uit te voeren, voert een rechtspersoon elke keer handmatig de bankkaartgegevens in de terminal in. Het maakt verbinding met een extern netwerk via TCP / IP-protocol en voldoet aan de PCI DSS-standaard.
- Type “C”. De organisatie verricht betalingen via POS-terminals die rechtstreeks met Internet zijn verbonden of via een proxyserver.
- Type “P2PE”. In dit geval gebruikt het bedrijf alleen gecertificeerde p2pe-producten.
- Type “D”. Van toepassing op alle andere bedrijven die niet overeenkomen met de bovenstaande typen.
In alle variaties van SAQ wordt informatie over de eigenaar van de bankkaart niet opgeslagen, verzonden of verwerkt aan de kant van de organisatie.
Het proces van het invullen van de zelfvragenlijst is moeilijk vanwege de specifieke kenmerken van de formulering. Als de klant problemen ondervindt, is het raadzaam om contact op te nemen met een derde partij die over de nodige certificaten beschikt.
Bedrijven die bereid zijn om te helpen bij het invullen van de self-assessment sheet ondergaan betaalde interne audit training in overeenstemming met de PCI DSS standaard.