SAQ(Self-Assessment Questionnaires)は、加盟店が買収銀行およびPCI SSC(PCIセキュリティ基準協議会)に対してPCI DSS準拠を検証する方法の1つです。 カード会員データをいかに安全に保つかという点で非常に重要であり、A、A-EP、B、B-IP、C、C-VT、D、およびP2PEの8つのSAQから選択できます。
これまで、既存の自己評価質問票のうち6つを説明しましたが、次はPCI DSS SAQ Dについてです。
この自己評価質問票は、組織が受ける可能性のある最大のものであるため(他のすべてのSAQの質問はこの質問票から引用されています)、これを受けるべきであることを絶対に確信できることが非常に重要です。
Who should take the Self-Assessment Questionnaire D?
この特定のアンケートは、あらゆるタイプの加盟店に適用されます。したがって、アンケートを受けるべきかどうかを判断する最も簡単な方法は、カード会員データをデジタルで保管しているかどうかです(そして、アンケートを受ける前に自問すべき最初の質問)。
これには、電子商取引に関連してオンラインでデータを保存する場合や、電話でカード会員データを処理するテレマーケティング会社で、それらの電話が保存されている場合(たとえば、トレーニング目的や品質チェックのため)などがあります。
もう1つ自問すべき質問は、他のSAQが適用されるかどうかということです。 SAQには非常に具体的な基準があるため(たとえば、SAQ Aはカード会員データ処理機能をアウトソースしている加盟店向け、SAQ Bはダイヤルアップ接続を介してデータを送信する加盟店向け)、自分の組織が他のどのSAQアンケートの基準にもあてはまらない場合、SAQ Dを受ける必要があります。
この加盟店基準のリストには、さらにいくつかのポイントが記載されています。
- 自分のWebサイトでカード会員データを受け入れる電子商取引業者、
- カード会員データを電子的に保管している加盟店、
- カード会員データを電子的に保管していないが他のSAQタイプの基準を満たしていない加盟店、
- 他のSAQタイプの基準を満たしているが自分の環境にPCI DSS追加要件を適用できる環境を持つ加盟店。
このアンケートに参加するもう1つの重要な理由は、あなたがサービスプロバイダ(ペイメントカードに関連するサービスを提供する企業として定義され、たとえば、あなたの組織が加盟店や銀行と連携する場合など)であることです。 サービスプロバイダは、デフォルトでSAQ Dを受けなければならないため、他のSAQの基準を確認する必要はありません。
この質問票にはどのような質問がありますか
我々が「自己評価質問票Dは巨大な文書だ」と言ったとき、本当に冗談ではありませんでした。 しかし、質問は12種類のPCI要件に従って分割され、セクション化されているため、少しは理解しやすくなっています。また、質問は加盟店とサービスプロバイダでまったく同じであることにも注意してください。
さらに、各質問は「いいえ」、「はい」、「はい(CCW付き)」または「該当なし」で回答でき、いずれかの質問に「いいえ」と答えた場合は、その特定の問題を解決して組織を準拠させる方法についての情報も提供されます。
- PANは表示時にマスクされ(最初の6桁と最後の4桁が表示される最大桁数)、正当なビジネスニーズを持つ人員のみがPAN全体を見ることができるようになっているか。
- 承認後、トラックの全内容(カード裏面の磁気ストライプ、チップに含まれる同等のデータ、またはその他の場所から)は保存されないか
- 以下を含む、セキュリティ脆弱性を特定するプロセスがあるか。 脆弱性情報に関して信頼できる外部情報源を使用しているか。 高」リスクおよび「重要」な脆弱性をすべて特定することを含む、脆弱性へのリスクランキングを割り当てること
- 許可された当事者による、必要な権限を指定した文書による承認は必要ですか。
- 人員(ユーザーと管理者を含む)およびすべての第三者(サポートまたはメンテナンスのためのベンダーアクセスを含む)によるネットワーク外からのリモートネットワークアクセスには、2要素認証が組み込まれていますか?