Kwestionariusze samooceny (SAQ) są jednym ze sposobów, w jaki handlowcy mogą potwierdzić zgodność z PCI DSS wobec banków autoryzujących oraz Rady PCI Security Standard (PCI SSC). Niewiarygodnie ważne, jeśli chodzi o sposób zabezpieczania danych posiadaczy kart, jest osiem SAQ do wyboru: A, A-EP, B, B-IP, C, C-VT, D i P2PE.
Poprzedziwszy do tej pory sześć z istniejących Kwestionariuszy Samooceny, następnym jest PCI DSS SAQ D.
Ten Kwestionariusz Samooceny jest największym, jaki organizacja może wziąć pod uwagę (wszystkie inne pytania SAQ pochodzą z tego kwestionariusza) i dlatego jest niezwykle ważne, abyś był absolutnie pewien, że powinieneś go wziąć. Nie chcesz spędzić godzin na wypełnianiu go teraz, tylko po to, aby później zdać sobie sprawę, że jest to niewłaściwy kwestionariusz!
Kto powinien wziąć Kwestionariusz Samooceny D?
Ten konkretny kwestionariusz odnosi się do każdego i wszystkich typów sprzedawców, więc najprostszym sposobem na stwierdzenie, czy powinieneś go wziąć (i pierwszym pytaniem, które powinieneś sobie zadać przed zrobieniem tego) jest to, czy przechowujesz dane posiadacza karty cyfrowo, czy nie.
Może to obejmować przechowywanie danych online w związku z transakcjami handlu elektronicznego lub jeśli jesteś firmą telemarketingową, która obsługuje dane posiadaczy kart przez telefon, a następnie te rozmowy telefoniczne są przechowywane i zapisywane (np. do celów szkoleniowych lub kontroli jakości).
Innym pytaniem, które należy sobie zadać, jest to, czy inne SAQ mają zastosowanie do Ciebie. SAQ mają bardzo konkretne kryteria (na przykład SAQ A jest dla handlowców, którzy zlecają funkcje przetwarzania danych posiadaczy kart, a SAQ B jest dla tych, którzy przesyłają dane za pomocą połączenia dial-up), więc jeśli Twoja organizacja nie spełnia kryteriów żadnego innego kwestionariusza SAQ, powinieneś wziąć SAQ D. Kwestionariusz D wyraźnie stwierdza, że „jest przeznaczony dla handlowców, którzy nie spełniają kryteriów żadnego innego rodzaju SAQ”.
Ta lista kryteriów dla handlowców dostarcza kilku dodatkowych wskazówek:
- Przedsiębiorcy handlu elektronicznego, którzy akceptują dane posiadaczy kart na swojej stronie internetowej;
- Przedsiębiorcy z elektronicznym przechowywaniem danych posiadaczy kart;
- Przedsiębiorcy, którzy nie przechowują danych posiadaczy kart elektronicznie, ale nie spełniają kryteriów innego typu SAQ;
- Przedsiębiorcy ze środowiskami, które mogą spełniać kryteria innego typu SAQ, ale które mają dodatkowe wymagania PCI DSS mające zastosowanie do ich środowiska.
Innym kluczowym powodem, dla którego warto wypełnić ten kwestionariusz, jest fakt, że są Państwo Dostawcą Usług (definiowanym jako każda firma, która świadczy usługi związane z kartami płatniczymi, np. jeśli Państwa organizacja współpracuje z akceptantami lub nawet bankami). Usługodawcy nie muszą patrzeć na kryteria innych SAQ, ponieważ domyślnie muszą wziąć SAQ D; nie ma dla nich innego SAQ.
Jakiego rodzaju pytania znajdują się w tym kwestionariuszu?
Kiedy mówiliśmy, że Self-Assessment Questionnaire D jest jednym wielkim dokumentem, naprawdę nie żartowaliśmy!
Ogółem, SAQ D ma 263 pytania, na które musisz odpowiedzieć, co jest absolutnie fenomenalną ilością. Pytania są jednak podzielone na sekcje zgodnie z 12 różnymi wymogami PCI, co ułatwia nieco przebrnięcie przez nie – należy również zauważyć, że pytania są dokładnie takie same dla handlowców i usługodawców.
Co więcej, na każde pytanie można odpowiedzieć „Nie”, „Tak”, „Tak z CCW” (Compensating Control Worksheet) lub N/A (Not Applicable), a jeśli odpowiesz „Nie” na którekolwiek z pytań, kwestionariusz oferuje również informacje, jak rozwiązać ten konkretny problem i sprawić, by Twoja organizacja była zgodna z wymogami.
Oto kilka przykładów pytań, które można znaleźć w kwestionariuszu:
- Czy PAN jest maskowany podczas wyświetlania (pierwsze sześć i ostatnie cztery cyfry to maksymalna liczba cyfr do wyświetlenia), tak że tylko personel mający uzasadnioną potrzebę biznesową może zobaczyć pełny PAN?
- Pełna zawartość jakiejkolwiek ścieżki (z paska magnetycznego znajdującego się na odwrocie karty, równoważnych danych zawartych na chipie lub gdziekolwiek indziej) nie jest przechowywana po autoryzacji? Korzystanie z renomowanych źródeł zewnętrznych w celu uzyskania informacji o podatnościach? Przypisywanie podatnościom rankingu ryzyka, który obejmuje identyfikację wszystkich podatności „wysokiego” ryzyka i „krytycznych”?
- Czy wymagane jest udokumentowane zatwierdzenie przez uprawnione strony, określające wymagane uprawnienia?
- Czy uwierzytelnianie dwuskładnikowe jest włączone dla zdalnego dostępu do sieci pochodzącego spoza sieci przez personel (w tym użytkowników i administratorów) oraz wszystkie strony trzecie (w tym dostęp dostawcy w celu wsparcia lub konserwacji)?
Czy organizacja przechowuje dane posiadaczy kart w formie elektronicznej?
Przy tak wielu pytaniach zawartych w SAQ D, może się wydawać, że jest to trudne, niemożliwe zadanie. Jednak z pomocą QSA (Qualified Security Assessor), eksperta w zakresie zgodności z PCI DSS, znalezienie odpowiedniego kwestionariusza dla Państwa firmy i osiągnięcie zgodności z PCI może stać się bezstresowym procesem.
.