Posted on

PCI DSS SAQ D para comerciantes que almacenan datos de titulares de tarjetas electrónicamente

, Author

Los SAQ (Cuestionarios de Autoevaluación) son una forma en la que los comerciantes pueden validar su cumplimiento de PCI DSS ante los bancos adquirentes y ante el PCI Security Standard Council (PCI SSC). Hay ocho cuestionarios de autoevaluación entre los que elegir: A, A-EP, B, B-IP, C, C-VT, D y P2PE.

Habiendo hablado hasta ahora de seis de los cuestionarios de autoevaluación existentes, el siguiente es el SAQ D del PCI DSS.

Este Cuestionario de Autoevaluación resulta ser el más extenso que una organización puede realizar (las preguntas de todos los demás SAQs se toman de este cuestionario) y por ello es increíblemente importante que esté absolutamente seguro de que debe realizarlo. No querrá pasar horas rellenándolo ahora, sólo para darse cuenta de que es el equivocado más tarde.

¿Quién debería realizar el Cuestionario de Autoevaluación D?

Este cuestionario en particular se aplica a todos y cada uno de los tipos de comerciantes, por lo que la forma más fácil de saber si debería realizarlo (y la primera pregunta que debería hacerse antes de hacerlo) es si almacena o no los datos de los titulares de las tarjetas digitalmente.

Esto puede incluir el almacenamiento de datos en línea en relación con las transacciones de comercio electrónico o si usted es una empresa de telemarketing que maneja los datos de los titulares de tarjetas por teléfono, y luego esas llamadas telefónicas se almacenan y guardan (por ejemplo, con fines de formación o de control de calidad).

Otra pregunta que debe hacerse es si los otros SAQs se aplican a usted o no. Los SAQ tienen criterios muy específicos (por ejemplo, el SAQ A es para los comerciantes que subcontratan las funciones de procesamiento de datos de los titulares de tarjetas y el SAQ B es para los que transmiten los datos a través de una conexión telefónica) y, por lo tanto, si su organización no se ajusta a los criterios de ningún otro cuestionario SAQ, entonces debe realizar el SAQ D. El cuestionario D establece específicamente que » es para los comerciantes que no cumplen los criterios de ningún otro tipo de SAQ».

Esta lista de criterios para comerciantes proporciona algunas indicaciones adicionales:

  • Comerciantes de comercio electrónico que aceptan datos de titulares de tarjetas en su sitio web;
  • Comerciantes con almacenamiento electrónico de datos de titulares de tarjetas;
  • Comerciantes que no almacenan datos de titulares de tarjetas electrónicamente pero que no cumplen los criterios de otro tipo de SAQ;
  • Comerciantes con entornos que podrían cumplir los criterios de otro tipo de SAQ, pero que tienen requisitos adicionales de PCI DSS aplicables a su entorno.

La otra razón clave para realizar este cuestionario, es que usted es un Proveedor de Servicios (definido como cualquier empresa que proporciona un servicio relacionado con las tarjetas de pago, por ejemplo si su organización trabaja con comerciantes o incluso con bancos). Los proveedores de servicios no necesitan consultar los criterios de los demás cuestionarios de autoevaluación, ya que tienen que realizar el cuestionario D por defecto; no hay ningún otro cuestionario para ellos.

¿Qué tipo de preguntas contiene este cuestionario?

Cuando dijimos que el cuestionario de autoevaluación D es un documento enorme, no estábamos bromeando

En total, el cuestionario D tiene 263 preguntas que debe responder, lo cual es una cantidad absolutamente fenomenal. Sin embargo, las preguntas están divididas y seccionadas de acuerdo con los 12 diferentes requisitos de la PCI, lo que hace que sean un poco más fáciles de entender – y también debemos tener en cuenta que las preguntas son exactamente las mismas para los comerciantes y los proveedores de servicios.

Además, cada pregunta puede responderse con «No», «Sí», «Sí con CCW» (hoja de control de compensación) o N/A (no aplicable) y, si responde «No» a alguna de las preguntas, el cuestionario también ofrece información sobre cómo solucionar ese problema concreto y hacer que su organización cumpla con la normativa.

Aquí tiene algunos ejemplos de las preguntas que puede encontrar dentro del cuestionario:

  • ¿Está el PAN enmascarado cuando se muestra (los seis primeros y los cuatro últimos dígitos son el número máximo de dígitos que se pueden mostrar) de forma que sólo el personal con una necesidad empresarial legítima pueda ver el PAN completo?
  • ¿El contenido completo de cualquier pista (de la banda magnética situada en el reverso de una tarjeta, los datos equivalentes contenidos en un chip o en cualquier otro lugar) no se almacena después de la autorización?
  • ¿Existe un proceso para identificar las vulnerabilidades de seguridad, incluyendo lo siguiente: Utilización de fuentes externas acreditadas para obtener información sobre las vulnerabilidades? ¿Asignación de una clasificación de riesgo a las vulnerabilidades que incluya la identificación de todas las vulnerabilidades de «alto» riesgo y «críticas»?
  • ¿Se requiere la aprobación documentada de las partes autorizadas, especificando los privilegios necesarios?
  • ¿Se incorpora la autenticación de dos factores para el acceso remoto a la red que se origina desde fuera de la red por parte del personal (incluidos los usuarios y los administradores) y todos los terceros (incluido el acceso de los proveedores para la asistencia o el mantenimiento)?

¿Su organización almacena los datos de los titulares de las tarjetas electrónicamente?

Con tantas preguntas que figuran en el SAQ D, puede parecer una tarea difícil e imposible. Pero con la ayuda de un QSA (Qualified Security Assessor) experto en el cumplimiento de la norma PCI DSS, averiguar cuál es el cuestionario adecuado para su empresa y lograr el cumplimiento de la norma PCI puede convertirse en un proceso sin estrés.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Deja una respuesta

Tu dirección de correo electrónico no será publicada.