Gli SAQ (Self-Assessment Questionnaires) sono un modo in cui i commercianti possono convalidare la loro conformità PCI DSS alle banche acquirenti e al PCI Security Standard Council (PCI SSC). Incredibilmente importante per la sicurezza dei dati dei titolari di carta, ci sono otto SAQ tra cui scegliere: A, A-EP, B, B-IP, C, C-VT, D e P2PE.
Dopo averti parlato di sei dei questionari di autovalutazione esistenti finora, il prossimo è il SAQ D del PCI DSS.
Questo questionario di autovalutazione è il più grande che un’organizzazione possa prendere (tutte le domande degli altri SAQ sono prese da questo questionario) e quindi è incredibilmente importante che siate assolutamente certi di doverlo prendere. Non vorrete passare ore a compilarlo ora, solo per rendersi conto che è quello sbagliato più tardi!
Chi dovrebbe prendere il Self-Assessment Questionnaire D?
Questo particolare questionario si applica a tutti i tipi di commercianti, quindi il modo più semplice per capire se dovreste prenderlo (e la prima domanda che dovreste farvi prima di farlo) è se memorizzate o meno i dati dei titolari di carta in modo digitale.
Questo può includere l’archiviazione dei dati online in relazione alle transazioni di e-commerce o se siete una società di telemarketing che gestisce i dati dei titolari di carta al telefono, e poi quelle telefonate vengono archiviate e salvate (ad esempio per scopi di formazione o controllo di qualità).
Un’altra domanda che dovreste porvi è se gli altri SAQ si applicano a voi o meno. I questionari SAQ hanno criteri molto specifici (per esempio, SAQ A è per i commercianti che esternalizzano le funzioni di elaborazione dei dati dei titolari di carta e SAQ B è per quelli che trasmettono i dati tramite una connessione dial-up) e quindi se la vostra organizzazione non soddisfa i criteri di nessun altro questionario SAQ, allora dovreste prendere SAQ D. Il questionario D afferma specificamente che “è per i commercianti che non soddisfano i criteri di nessun altro tipo di SAQ”.
Questa lista di criteri per i commercianti fornisce alcune indicazioni aggiuntive:
- E-commerce che accettano dati di titolari di carta sul loro sito Web;
- Esercenti con archiviazione elettronica dei dati di titolari di carta;
- Esercenti che non archiviano elettronicamente i dati di titolari di carta ma che non soddisfano i criteri di un altro tipo SAQ;
- Esercenti con ambienti che potrebbero soddisfare i criteri di un altro tipo SAQ, ma che hanno ulteriori requisiti PCI DSS applicabili al loro ambiente.
L’altro motivo fondamentale per prendere questo questionario è che sei un Service Provider (definito come qualsiasi azienda che fornisce un servizio relativo alle carte di pagamento, ad esempio se la tua organizzazione lavora con commercianti o anche con banche). I fornitori di servizi non hanno bisogno di guardare i criteri degli altri SAQ perché devono prendere il SAQ D per default; non c’è un altro SAQ per loro.
Che tipo di domande ci sono in questo questionario?
Quando abbiamo detto che il questionario di autovalutazione D è un documento enorme, non stavamo davvero scherzando!
In totale, SAQ D ha 263 domande a cui dovete rispondere, che è una quantità assolutamente fenomenale. Tuttavia, le domande sono divise e sezionate secondo i 12 diversi requisiti PCI, il che le rende un po’ più facili da affrontare – e dovremmo anche notare che le domande sono esattamente le stesse per i commercianti e i fornitori di servizi.
Inoltre, ad ogni domanda si può rispondere con “No”, “Sì”, “Sì con CCW” (Compensating Control Worksheet) o N/A (Not Applicable) e, se si risponde “No” a qualsiasi domanda, il questionario offre anche informazioni su come risolvere quel particolare problema e rendere la vostra organizzazione conforme.
Questi sono alcuni esempi delle domande che potete trovare all’interno del questionario:
- Il PAN è mascherato quando viene visualizzato (le prime sei e le ultime quattro cifre sono il numero massimo di cifre da visualizzare) in modo che solo il personale con una legittima necessità aziendale possa vedere il PAN completo?
- Il contenuto completo di qualsiasi traccia (dalla banda magnetica situata sul retro di una carta, dati equivalenti contenuti in un chip, o altrove) non sono memorizzati dopo l’autorizzazione?
- Esiste un processo per identificare le vulnerabilità di sicurezza, compreso quanto segue: Usare fonti esterne rispettabili per informazioni sulle vulnerabilità? Assegnare una classifica di rischio alle vulnerabilità che include l’identificazione di tutte le vulnerabilità “ad alto” rischio e “critiche”?
- È richiesta un’approvazione documentata da parte delle parti autorizzate, specificando i privilegi richiesti?
- È incorporata l’autenticazione a due fattori per l’accesso remoto alla rete proveniente dall’esterno della rete da parte del personale (inclusi utenti e amministratori) e di tutte le terze parti (incluso l’accesso dei fornitori per il supporto o la manutenzione)?
La vostra organizzazione conserva i dati dei titolari di carta elettronicamente?
Con così tante domande presenti nel SAQ D, può sembrare un compito difficile, impossibile. Ma con l’aiuto di un QSA (Qualified Security Assessor) esperto in conformità PCI DSS, scoprire qual è il questionario giusto per la tua azienda e raggiungere la conformità PCI può diventare un processo senza stress.