PCI DSS SAQ D pentru comercianții care stochează electronic datele titularilor de carduri

, Author

SAQ-urile (Chestionare de autoevaluare) reprezintă o modalitate prin care comercianții își pot valida conformitatea PCI DSS în fața băncilor achizitoare și a PCI Security Standard Council (PCI SSC). Incredibil de importante în ceea ce privește modul în care păstrați în siguranță datele deținătorilor de carduri, există opt SAQ-uri din care puteți alege: A, A-EP, B, B-IP, C, C-VT, D și P2PE.

După ce v-am vorbit până acum despre șase dintre chestionarele de autoevaluare existente, următorul este PCI DSS SAQ D.

Acest Chestionar de autoevaluare se întâmplă să fie cel mai mare pe care o organizație îl poate lua (toate întrebările celorlalte SAQ-uri sunt preluate din acest chestionar) și, prin urmare, este incredibil de important să fiți absolut sigur că ar trebui să îl luați. Nu vreți să petreceți ore întregi completându-l acum, doar pentru a vă da seama mai târziu că este greșit!

Cine ar trebui să răspundă la Chestionarul de autoevaluare D?

Acest chestionar special se aplică tuturor tipurilor de comercianți, așa că cel mai simplu mod de a vă da seama dacă ar trebui să-l răspundeți (și prima întrebare pe care ar trebui să v-o puneți înainte de a face acest lucru) este dacă stocați sau nu datele titularilor de carduri în format digital.

Acest lucru poate include stocarea datelor online în legătură cu tranzacțiile de comerț electronic sau dacă sunteți o companie de telemarketing care gestionează datele titularilor de carduri prin telefon, iar apoi acele apeluri telefonice sunt stocate și salvate (de exemplu, în scopuri de formare sau de verificare a calității).

O altă întrebare pe care ar trebui să v-o puneți este dacă vi se aplică sau nu celelalte SAQ-uri. SAQ-urile au criterii foarte specifice (de exemplu, SAQ A este pentru comercianții care externalizează funcțiile de procesare a datelor titularilor de carduri, iar SAQ B este pentru cei care transmit date prin intermediul unei conexiuni dial-up) și, prin urmare, dacă organizația dvs. nu se încadrează în criteriile niciunui alt chestionar SAQ, atunci ar trebui să luați SAQ D. Chestionarul D afirmă în mod specific că ” este pentru comercianții care nu îndeplinesc criteriile pentru niciun alt tip de SAQ”.

Această listă de criterii pentru comercianți oferă câteva indicii suplimentare:

  • Comercianți de comerț electronic care acceptă date ale titularilor de carduri pe site-ul lor web;
  • Comercianți cu stocare electronică a datelor titularilor de carduri;
  • Comercianți care nu stochează electronic datele titularilor de carduri, dar care nu îndeplinesc criteriile unui alt tip de SAQ;
  • Comercianți cu medii care ar putea îndeplini criteriile unui alt tip de SAQ, dar care au cerințe PCI DSS suplimentare aplicabile mediului lor.

Un alt motiv cheie pentru a răspunde la acest chestionar este faptul că sunteți un furnizor de servicii (definit ca orice companie care furnizează un serviciu legat de cardurile de plată, de exemplu, dacă organizația dvs. lucrează cu comercianți sau chiar cu bănci). Furnizorii de servicii nu trebuie să se uite la criteriile celorlalte SAQ-uri, deoarece trebuie să ia SAQ D în mod implicit; nu există un alt SAQ pentru ei.

Ce fel de întrebări conține acest chestionar?

Când am spus că Chestionarul de autoevaluare D este un document imens, chiar nu glumeam!

În total, SAQ D are 263 de întrebări la care trebuie să răspundeți, ceea ce reprezintă o cantitate absolut fenomenală. Cu toate acestea, întrebările sunt împărțite și secționate în funcție de cele 12 cerințe PCI diferite, ceea ce le face un pic mai ușor de parcurs – și ar trebui, de asemenea, să observăm că întrebările sunt exact aceleași pentru comercianți și furnizori de servicii.

În plus, la fiecare întrebare se poate răspunde cu „Nu”, „Da”, „Da cu CCW” (Compensating Control Worksheet) sau N/A (Not Applicable) și, dacă răspundeți „Nu” la oricare dintre întrebări, chestionarul oferă, de asemenea, informații despre cum să rezolvați problema respectivă și să vă faceți organizația conformă.

Iată câteva exemple de întrebări pe care le puteți găsi în cadrul chestionarului:

  • Este PAN mascat atunci când este afișat (primele șase și ultimele patru cifre sunt numărul maxim de cifre care trebuie afișate), astfel încât numai personalul care are o nevoie legitimă de afaceri să poată vedea întregul PAN?
  • Conținutul complet al oricărei piste (de pe banda magnetică aflată pe spatele cardului, datele echivalente conținute pe un cip sau în altă parte) nu este stocat după autorizare?
  • Există un proces de identificare a vulnerabilităților de securitate, inclusiv următoarele: Utilizarea unor surse externe de încredere pentru informații privind vulnerabilitățile? Atribuirea unei clasificări a riscurilor pentru vulnerabilități care include identificarea tuturor vulnerabilităților cu risc „ridicat” și „critice”?
  • Este necesară aprobarea documentată de către părțile autorizate, cu specificarea privilegiilor necesare?
  • Autentificarea cu doi factori este încorporată pentru accesul de la distanță la rețea provenit din afara rețelei de către personal (inclusiv utilizatori și administratori) și toate părțile terțe (inclusiv accesul furnizorului pentru asistență sau întreținere)?

Organizația dumneavoastră stochează datele titularilor de carduri în format electronic?

Cu atât de multe întrebări prezentate în SAQ D, poate părea o sarcină dificilă, imposibilă. Dar cu ajutorul unui QSA (Qualified Security Assessor) care este expert în conformitatea PCI DSS, aflarea chestionarului potrivit pentru compania dumneavoastră și obținerea conformității PCI poate deveni un proces fără stres.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.