SAQ (dotazníky pro sebehodnocení) jsou jedním ze způsobů, jak mohou obchodníci potvrdit shodu s PCI DSS získávajícím bankám a Radě pro bezpečnostní standardy PCI (PCI SSC). SAQ, které jsou neuvěřitelně důležité z hlediska způsobu, jakým zajišťujete bezpečnost údajů držitelů karet, je na výběr osm: A, A-EP, B, B-IP, C, C-VT, D a P2PE.

Pokud jsme vás zatím seznámili se šesti existujícími dotazníky pro sebehodnocení, dalším na řadě je PCI DSS SAQ D.

Tento sebehodnotící dotazník je shodou okolností nejrozsáhlejší, jaký může organizace absolvovat (otázky všech ostatních dotazníků SAQ jsou převzaty z tohoto dotazníku), a proto je nesmírně důležité, abyste si byli naprosto jisti, že byste jej měli absolvovat. Nechcete přece teď strávit hodiny jeho vyplňováním, abyste později zjistili, že je to špatně!“

Kdo by měl vyplnit sebehodnotící dotazník D?

Tento konkrétní dotazník se týká všech typů obchodníků, takže nejjednodušší způsob, jak zjistit, zda byste ho měli vyplnit (a první otázka, kterou byste si měli před jeho vyplněním položit), je, zda ukládáte údaje o držitelích karet digitálně.

To může zahrnovat ukládání údajů online v souvislosti s transakcemi elektronického obchodu nebo pokud jste telemarketingová společnost, která zpracovává údaje o držitelích karet po telefonu, a pak jsou tyto telefonní hovory ukládány a uchovávány (např. pro účely školení nebo kontroly kvality).

Další otázkou, kterou byste si měli položit, je, zda se na vás vztahují ostatní dotazníky SAQ. Dotazníky SAQ mají velmi specifická kritéria (například dotazník SAQ A je určen pro obchodníky, kteří externě zajišťují funkce zpracování údajů o držitelích karet, a dotazník SAQ B je určen pro ty, kteří přenášejí data prostřednictvím vytáčeného připojení), a proto pokud vaše organizace nesplňuje kritéria žádného jiného dotazníku SAQ, měli byste si vzít dotazník SAQ D. V dotazníku D je výslovně uvedeno, že “ je určen pro obchodníky, kteří nesplňují kritéria pro žádný jiný typ dotazníku SAQ“.

Tento seznam kritérií pro obchodníky poskytuje několik dalších vodítek:

• Obchodníci, kteří přijímají údaje držitelů karet na svých webových stránkách;
• Obchodníci s elektronickým ukládáním údajů držitelů karet;
• Obchodníci, kteří neukládají údaje držitelů karet elektronicky, ale nesplňují kritéria jiného typu SAQ;
• Obchodníci s prostředím, které může splňovat kritéria jiného typu SAQ, ale na jejich prostředí se vztahují další požadavky PCI DSS.

Dalším klíčovým důvodem pro vyplnění tohoto dotazníku je, že jste poskytovatelem služeb (definovaným jako jakákoli společnost, která poskytuje služby související s platebními kartami, např. pokud vaše organizace spolupracuje s obchodníky nebo dokonce bankami). Poskytovatelé služeb se nemusí zabývat kritérii ostatních dotazníků SAQ, protože standardně musí absolvovat dotazník SAQ D; žádný jiný dotazník SAQ pro ně neexistuje.

Jaké druhy otázek tento dotazník obsahuje?

Když jsme říkali, že sebehodnotící dotazník D je jeden obrovský dokument, opravdu jsme nežertovali!

Celkově má dotazník SAQ D 263 otázek, na které máte odpovědět, což je naprosto fenomenální množství. Otázky jsou sice rozděleny a rozčleněny podle 12 různých požadavků PCI, což trochu usnadňuje jejich procházení – a měli bychom také poznamenat, že otázky jsou naprosto stejné pro obchodníky i poskytovatele služeb.

Na každou otázku lze navíc odpovědět „Ne“, „Ano“, „Ano s CCW“ (Compensating Control Worksheet) nebo N/A (Not Applicable), a pokud na některou z otázek odpovíte „Ne“, dotazník nabízí také informace o tom, jak daný problém odstranit a zajistit, aby vaše organizace splňovala požadavky.

Níže uvádíme několik příkladů otázek, které v dotazníku naleznete:

• Je PAN při zobrazení maskován (prvních šest a poslední čtyři číslice jsou maximální počet číslic, které lze zobrazit) tak, aby celý PAN viděli pouze pracovníci s oprávněnou obchodní potřebou?
• Neukládá se po autorizaci úplný obsah žádné stopy (z magnetického proužku umístěného na zadní straně karty, ekvivalentních údajů obsažených na čipu nebo jinde)?
• Existuje proces pro identifikaci bezpečnostních slabin, včetně následujících: Využívání renomovaných externích zdrojů informací o zranitelnostech? Přiřazení pořadí rizika zranitelnostem, které zahrnuje identifikaci všech „vysoce“ rizikových a „kritických“ zranitelností?
• Je vyžadováno zdokumentované schválení oprávněnými osobami s uvedením požadovaných oprávnění?
• Je začleněno dvoufaktorové ověřování pro vzdálený síťový přístup pocházející z vnějšku sítě personálem (včetně uživatelů a správců) a všemi třetími stranami (včetně přístupu dodavatelů za účelem podpory nebo údržby)?

Ukládá vaše organizace údaje držitelů karet elektronicky?

Při tolika otázkách uvedených v SAQ D se to může zdát jako obtížný, nesplnitelný úkol. Ale s pomocí QSA (Qualified Security Assessor), který je odborníkem na shodu s PCI DSS, se zjištění správného dotazníku pro vaši společnost a dosažení shody s PCI může stát procesem bez stresu.

.