Les SAQ (Self-Assessment Questionnaires) sont un moyen pour les commerçants de valider leur conformité PCI DSS auprès des banques acquéreuses et du PCI Security Standard Council (PCI SSC). Incroyablement important en ce qui concerne la façon dont vous gardez les données des titulaires de cartes en sécurité, il y a huit SAQ à choisir : A, A-EP, B, B-IP, C, C-VT, D et P2PE.

Vous ayant parlé de six des questionnaires d’auto-évaluation existants jusqu’à présent, le prochain est le PCI DSS SAQ D.

Ce questionnaire d’auto-évaluation se trouve être le plus grand qu’une organisation puisse éventuellement prendre (toutes les questions des autres SAQ sont tirées de ce questionnaire) et il est donc incroyablement important que vous soyez absolument certain que vous devriez le prendre. Vous ne voulez pas passer des heures à le remplir maintenant, pour vous rendre compte plus tard que ce n’est pas le bon !

Qui doit passer le questionnaire d’auto-évaluation D?

Ce questionnaire particulier s’applique à tous les types de commerçants, donc le moyen le plus simple de savoir si vous devez le passer (et la première question que vous devez vous poser avant de le faire) est de savoir si vous stockez ou non les données des titulaires de cartes sous forme numérique.

Cela peut inclure le stockage de données en ligne en relation avec des transactions de commerce électronique ou si vous êtes une société de télémarketing qui traite les données des titulaires de cartes par téléphone, puis ces appels téléphoniques sont stockés et sauvegardés (par exemple à des fins de formation ou de contrôle de la qualité).

Une autre question que vous devriez vous poser est de savoir si les autres SAQ s’appliquent ou non à vous. Les SAQ ont des critères très spécifiques (par exemple, le SAQ A est destiné aux commerçants qui externalisent les fonctions de traitement des données des titulaires de cartes et le SAQ B est destiné à ceux qui transmettent des données via une connexion commutée) et donc si votre organisation ne correspond pas aux critères d’un autre questionnaire SAQ, alors vous devriez prendre le SAQ D. Le questionnaire D indique spécifiquement que  » est destiné aux commerçants qui ne répondent aux critères d’aucun autre type de SAQ « .

Cette liste de critères des commerçants fournit quelques indications supplémentaires :

• Marchands de commerce électronique qui acceptent les données des titulaires de carte sur leur site web;
• Marchands avec stockage électronique des données des titulaires de carte;
• Marchands qui ne stockent pas les données des titulaires de carte électroniquement mais qui ne répondent pas aux critères d’un autre type de SAQ;
• Marchands avec des environnements qui pourraient répondre aux critères d’un autre type de SAQ, mais qui ont des exigences PCI DSS supplémentaires applicables à leur environnement.

L’autre raison clé pour répondre à ce questionnaire, est que vous êtes un fournisseur de services (défini comme toute entreprise qui fournit un service lié aux cartes de paiement, par exemple si votre organisation travaille avec des commerçants ou même des banques). Les fournisseurs de services n’ont pas besoin de regarder les critères des autres SAQ car ils doivent prendre le SAQ D par défaut ; il n’y a pas d’autre SAQ pour eux.

Quels types de questions sont dans ce questionnaire ?

Quand nous avons dit que le questionnaire d’auto-évaluation D est un énorme document, nous ne plaisantions vraiment pas !

En tout, le SAQ D a 263 questions auxquelles vous devez répondre, ce qui est une quantité absolument phénoménale. Bien que, les questions sont divisées et sectionnées selon les 12 différentes exigences PCI, ce qui les rend un peu plus faciles à parcourir – et nous devons également noter que les questions sont exactement les mêmes pour les commerçants et les fournisseurs de services.

De plus, il est possible de répondre à chaque question par « Non », « Oui », « Oui avec CCW » (Compensating Control Worksheet) ou N/A (Not Applicable) et, si vous répondez « Non » à l’une des questions, le questionnaire propose également des informations sur la manière de résoudre ce problème particulier et de rendre votre organisation conforme.

Voici quelques exemples de questions que vous pouvez trouver dans le questionnaire :

• Le PAN est-il masqué lorsqu’il est affiché (les six premiers et les quatre derniers chiffres sont le nombre maximum de chiffres à afficher) de sorte que seul le personnel ayant un besoin professionnel légitime puisse voir le PAN complet ?
• Le contenu complet de toute piste (de la bande magnétique située au dos d’une carte, des données équivalentes contenues dans une puce, ou ailleurs) n’est pas stocké après autorisation ?
• Y a-t-il un processus pour identifier les vulnérabilités de sécurité, notamment : Utiliser des sources extérieures réputées pour obtenir des informations sur les vulnérabilités ? L’attribution d’un classement des risques aux vulnérabilités qui comprend l’identification de toutes les vulnérabilités à risque  » élevé  » et  » critique  » ?
• Une approbation documentée par les parties autorisées est-elle requise, précisant les privilèges requis ?
• Une authentification à deux facteurs est-elle incorporée pour l’accès au réseau à distance provenant de l’extérieur du réseau par le personnel (y compris les utilisateurs et les administrateurs) et tous les tiers (y compris l’accès des fournisseurs pour le soutien ou la maintenance) ?

Votre organisation stocke-t-elle les données des titulaires de cartes de façon électronique ?

Avec autant de questions figurant dans le SAQ D, la tâche peut sembler difficile, voire impossible. Mais avec l’aide d’un QSA (Qualified Security Assessor) qui est un expert de la conformité PCI DSS, trouver le bon questionnaire pour votre entreprise et atteindre la conformité PCI peut devenir un processus sans stress.

.