El 30 de enero de 2017 el PCI SSC publicó la revisión 1.1 de los Cuestionarios de Auto-Evaluación (Self-Assessment Questionnaires – SAQ) . Estas revisiones cubren correcciones menores (erratas) en ortografía y gramática e inclusión de guías adicionales para soportar el proceso de relleno de los cuestionarios. La revisión 1.0 de los SAQ fue publicada en abril de 2016, mientras que esta nueva revisión 1.1 fue publicada en enero de 2017.

Adicionalmente, se han complementado los SAQ B-IP y C-VT para alineación con los cambios de la versión 3.2 de PCI DSS, incluyendo autenticación multi-factor y verificación de controles de segmentación. No se han agregado nuevos SAQ, por lo que se continúa con las 9 versiones de SAQ con las que se venía trabajando desde marzo de 2014: SAQ A, SAQ A-EP, SAQ B, SAQ B-IP, SAQ C, SAQ C-VT, SAQ P2PE y SAQ D Merchant y Service Provider.

La tabla de cambios de la revisión 1.1 de los SAQ v3.2 es la siguiente:

Versión del SAQ Cambios en la revisión 1.1
SAQ A - Aclaración de requerimientos y erratas generales
- Adición de una nota en el apartado "Antes de empezar" (Before you Begin) para aclarar el objetivo de la inclusión de los requerimientos 2 y 8
SAQ A-EP - Aclaración de requerimientos y erratas generales
SAQ B - Actualización de la numeración de la versión para alinearla con otros SAQs
SAQ B-IP - Aclaración de requerimientos y erratas generales
- Actualización del apartado "Antes de empezar" (Before you Begin) para aclarar el término "SCR" (Secure Card Readers). Aquellos comercios que hagan uso de dispositivos POI (Point of Interaction) clasificados como SCR no son elegibles para usar este SAQ
- Aclaraciones generales acerca del uso de segmentación para el aislamiento de sistemas en redes
- Adición del requerimiento 8.3.1 para alineación con el requerimiento 2.3
- Adición del requerimiento 11.3.4 (a, b y c) para la verificación de controles de segmentación (si es usada)
SAQ C - Aclaración de requerimientos y erratas generales
- Adición de una nota al pie en el apartado "Antes de empezar" (Before you Begin) para aclarar los tipos de sistemas permitidos
- Corrección en las casillas de verificación de los requerimientos 8.1.6 y 11.3.4
SAQ C-VT - Aclaración de requerimientos y erratas generales
- Adición de una nota al pie en el apartado "Antes de empezar" (Before you Begin) para aclarar los tipos de sistemas permitidos
- Adición del requerimiento 8.3.1 para alineación con el requerimiento 2.3
- Adición del requerimiento 11.3.4 (a, b y c) para la verificación de controles de segmentación (si es usada)
SAQ P2PE - Actualización de la tabla de cambios del documento para aclarar requerimientos removidos en la actualización de abril de 2016
SAQ D Merchant - Actualización de la numeración de la versión para alinearla con otros SAQs
SAQ D Service Provider - Actualización de la numeración de la versión para alinearla con otros SAQs

Por otra parte, el PCI SSC ha definido las siguientes fechas para la migración de la revisión 1.0  a la revisón 1.1 de los SAQ de PCI DSS v3.2:

  • Uso de cualquiera de los SAQ de PCI DSS v3.2 Rev. 1.0 y 1.1: Hasta septiembre 30 de 2017
  • Finalización del uso de los SAQ de PCI DSS v3.2 Rev. 1.0: Octubre 1 de 2017
  • Uso exclusivo de los SAQ de PCI DSS v3.2 Rev.1.1: Octubre 1 de 2017

Puedes encontrar información detallada de los SAQ y su aplicabilidad en el artículo “Todo lo que siempre has querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación) de PCI DSS v3.2 (Incluye comparativo en Excel de los tipos de SAQ)“, incluyendo una comparativa actualizada en Excel de los controles de todos los SAQ.