SAQ_PCISSC


NOTA: Este artículo ha sido actualizado para cubrir la revisión 1.1 de los SAQ de PCI DSS publicada en enero 30 de 2017.


De forma paralela a la publicación de la nueva versión de PCI DSS (3.2), el PCI SSC puso a disposición para descarga los formularios actualizados de los Cuestionarios de Auto-evaluación (Self Assessment Questionnaires – SAQ), tal como lo referenciábamos hace poco en PCI Hispano en el artículo “Se conocen más detalles acerca de la nueva versión de PCI DSS 3.2“.

En este nuevo artículo se aprovechará para hacer una breve descripción de las características y uso de estos cuestionarios y una comparativa de los controles de cada una de las categorías disponibles.

¿Qué es un Cuestionario de Auto-Evaluación (SAQ)?

El estándar PCI DSS es un documento bastante complejo en términos de controles físicos, lógicos, administrativos y documentales orientados a gestionar el potencial riesgo de fraude asociado a datos de tarjetas de pago tanto en comercios (merchants) como en proveedores de servicios (service providers). Sin embargo, no todos los comercios y proveedores de servicio son iguales. Sus arquitecturas de red, los servicios que proveen (comercio electrónico (e-commerce), pago presencial empleando TPV físico, pago no presencial usando TPV virtual, pagos vía telefónica o por correo (Mail Order and Telephone Order), etc.), la complejidad en su infraestructura de tecnología, la relación con terceros (hosting, co-location, etc.) entre otros, hacen que el estándar no encaje completamente en una generalidad.  Puede que algunos controles apliquen, puede que otros no, puede que otros controles estén delegados en un tercero, con lo cual se presentan una multitud de escenarios que hay que adecuar de alguna forma para que se implementen los controles necesarios en función de sus necesidades sin penalizar la operación.

Es en este punto en el cual entra la figura del Cuestionario de Auto-evaluación o SAQ (Self-Assessment Questionnaire). Este documento no es más que un subconjunto de controles de PCI DSS aplicados a un escenario específico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento mediante una auto-evaluación de los mismos y una confirmación que dicho trabajo se ha realizado siguiendo las indicaciones del PCI SSC.

El SAQ está compuesto por dos documentos principales:

  1. Un formulario con los controles que aplican al entorno. Cada control puede ser contestado empleando una de cuatro opciones dependiendo de su estado:
    • SI (YES): La implementación y prueba del control se ha realizado conforme con las guías provistas (el propio documento del SAQ incluye las pruebas que deben ser realizadas para la validación del control) y se cumple de forma satisfactoria con el requerimiento.
    • SI con Hoja de Control Compensatorio (Yes with Compensating Control Worksheet): La implementación del control se ha realizado empleando un control compensatorio. En este caso, se debe rellenar una Hoja de Control Compensatorio (CCW – Compensating Control Worksheet), ubicada en el anexo B del SAQ explicando el control implementado y la forma mediante la cual se gestiona el riesgo.
    • NO: Alguno o todos los elementos del requerimiento no se cumplen o están en proceso de ser implementados.
    • N/A: El requerimiento no aplica al entorno de la organización. En este caso, se debe rellenar en anexo C del SAQ con una explicación justificando la no aplicación de dicho control.
  2. Una “declaración de cumplimiento” (“attestation of compliance”) que contiene una serie de preguntas en donde se justifica la elección del SAQ rellenado, se describe el entorno de cumplimiento y se certifica la ejecución de la auto-evaluación.

En pocas palabras: El SAQ (Self-Assessment Questionaire) es una herramienta de validación orientada a asistir a los comercios y proveedores de servicios a quienes las marcas les han permitido realizar auto-evaluaciones de cumplimiento de PCI DSS.

¿Quién solicita el SAQ y cómo debe ser reportado?

Por lo general – y dependiendo de las políticas de las propias marcas – los proveedores de servicio, centros autorizadores o adquirientes son los encargados de notificar la necesidad de cumplimiento y centralizar los reportes de SAQ de sus comercios asociados. Posterior a la centralización de dichos reportes, se deben enviar a las marcas para validación. Éste es un proceso que debe ser realizado anualmente con el fin de garantizar que los niveles de seguridad son constantes en el tiempo.

¿Qué ocurre cuando la implementación de los controles de un SAQ está incompleta en un reporte?

En caso que un SAQ se encuentre incompleto (porque un control no está implementado por alguna justificación técnica o administrativa) y se haya tenido que reportar uno o varios controles como “NO”, se deben definir fechas límites (deadlines) y ser revisados periódicamente. Esta periodicidad la dictan las propias marcas o adquirientes en función del potencial riesgo que se pueda asumir.

Recomendaciones a tener en cuenta al ejecutar una auto-evaluación de PCI DSS y rellenar un SAQ

A continuación se enumeran una serie de recomendaciones generales que facilitan la minimización de controles a ser cubiertos, a limitar el entorno de cumplimiento y a gestionar de forma efectiva el riesgo de fraude con tarjetas de pago cuando se reporta el cumplimiento de PCI DSS empleando un Cuestionario de Auto-evaluación (SAQ):

  • Nunca almacene datos sensitivos de autenticación (SAD – Sensitive Authentication Data) dentro del entorno. Es decir: el contenido de la banda magnética completo o del chip EMV, los códigos de verificación de tarjeta y/o datos de PIN/PIN Block NUNCA deben ser almacenados.
  • Revise la seguridad de su sistema POS (TPV) directamente con el proveedor de dicho elemento.
  • Si no requiere almacenar datos de tarjeta de pago, no lo haga.
  • Si requiere almacenar datos de tarjeta, consolídelos y aíslelos.
  • Considere el uso de “controles compensatorios” en el caso que sea necesario.
  • Si necesita asistencia, ubique un QSA.

Mayor información: SAQ Instructions and Guidelines.

Errores habituales durante el proceso de reporte de un SAQ

Antes de rellenar y presentar un SAQ (Cuestionario de Auto-Evaluación de PCI DSS) revisa este artículo y evita caer en los errores más comunes de esta tarea: “5 errores que debes evitar cuando rellenas un Cuestionario de Auto-Evaluación (SAQ) de PCI DSS“.

Tipos de Cuestionarios de Auto-evaluación y su aplicabilidad

EL PCI SSC en la versión 3.2 de PCI DSS ha definido 9 cuestionarios de Auto-evaluación. A continuación se describe la aplicabilidad de cada uno de ellos y las condiciones mediante las cuales se puede aplicar para certificar el cumplimiento usando estos formularios, los cuales se pueden descargar desde la biblioteca de documentos del PCI SSC:

SAQ A

El SAQ A ha sido desarrollado para gestionar los requerimientos aplicables a comercios que han delegado todas las funciones relacionadas con tarjetas de pago en un tercero validado en PCI DSS, de tal forma que el comercio en mención únicamente almacena reportes o recibos en papel con datos de tarjetas.

Dentro de los comercios que pueden aplicar para reportar su cumplimiento con un SAQ A se encuentran todos aquellos que gestionan transacciones no presenciales (comercio electrónico y/o pagos por teléfono o correo) y que no almacenan, procesan o transmiten ningún dato de tarjeta de pago en formato electrónico en sus sistemas o instalaciones.

Aquellos comercios que reporten su cumplimiento en PCI DSS usando un SAQ A deben confirmar que:

  • Únicamente se aceptan transacciones no presenciales (comercio electrónico y/o pagos por teléfono o correo)
  • Todo el proceso de aceptación y procesamiento de transacciones relacionadas con tarjetas de pago se ha delegado en un proveedor de servicio que cumple con PCI DSS
  • El comercio no tiene control directo dentro de los procesos que capturan, procesan, transmiten o almacenan datos de tarjetas de pago
  • El comercio no almacena de forma electrónica, procesa o transmite ningún dato de tarjeta de pago en sus sistemas o instalaciones y delega todo este proceso en un tercero que cumple con PCI DSS
  • El comercio ha confirmado que los terceros vinculados que gestionan la aceptación, almacenamiento, procesamiento y/o transmisión de datos de tarjetas de pago cumplen con PCI DSS
  • El comercio únicamente almacena reportes o recibos en papel con datos de tarjetas de pago y dichos documentos no son recibidos empleando canales electrónicos

Adicionalmente, para canales que emplean comercio electrónico:

  • La totalidad de las páginas web empleadas para el pago y mostradas al cliente en su browser deben ser originadas directamente desde el proveedor de servicios que cumple con PCI DSS.

Este SAQ no es aplicable a canales de pago presenciales.

Ejemplos de SAQ A:

  • Cualquier comercio que no tenga acceso a su website, pero que dicho web site sea totalmente alojado y gestionado por un procesador de pagos PCI DSS compliant.
  • Un comercio electrónico que use un iFrame que redireccione TODO el proceso de captura y transmisión de datos de tarjeta de pago a un tercero que cumple con PCI DSS (centro autorizador)
  • Un comercio que en el momento de pago le facilite al cliente una URL para redirigir todo el proceso de captura de datos de tarjeta de pago a un tercero que cumple con PCI DSS

La versión 3.2 de este SAQ ha agregado los siguientes controles:

  • Cambio de contraseñas por defecto
  • Implementación de un plan de respuesta a incidentes
  • Requerimientos básicos de autenticación incuyendo identificadores de usuario únicos, contraseñas robustas, deshabilitación de acceso a usuarios que han dejado la empresa y la prohibición de uso de cuentas grupales o contraseñas compartidas

Descarga del formulario: SAQ A v3.2 Rev. 1.1

SAQ A-EP

El nuevo SAQ A-EP (que no se encontraba presente en la versión 2.0 de PCI DSS) ha sido desarrollado para gestionar los requerimientos aplicables a organizaciones que utilizan comercio electrónico como canal de pagos y cuyo sitio web no recibe datos de tarjetas de pago pero puede afectar la seguridad de la transacción y/o de la integridad de la página que acepta los datos de tarjeta de pago provenientes del cliente.

El SAQ A-EP aplica a aquellos comercios que han delegado de forma parcial su canal de pago vía comercio electrónico a un tercero certificado en PCI DSS y que no almacena de forma electrónica, procesa o transmite ningún dato de tarjeta de pago en sus sistemas o instalaciones.

Aquellos comercios que reporten su cumplimiento en PCI DSS usando un SAQ A-EP deben confirmar que:

  • Solamente se aceptan transacciones provenientes de un canal de comercio electrónico
  • Todo el procesamiento de datos de tarjetas de pago está delegado a un procesador de pagos que cumple con PCI DSS
  • El sitio web del comercio no recibe datos de tarjetas de pago pero controla cómo el cliente – o sus datos de tarjeta de pago – son re-direccionados a un procesador de pagos que cumple con PCI DSS
  • El sitio web del comercio no está conectado a ningún otro sistema dentro de su entorno (esto puede ser realizado empleando segmentación a nivel de red para aislar el sitio web de otros sistemas)
  • Si el sitio web del comercio se encuentra en un proveedor de alojamiento de páginas web (hosting), este proveedor  debe validar su cumplimiento con los requerimientos que le apliquen (incluyendo el Anexo A de PCI DSS en el caso que el proveedor sea un proveedor de alojamiento compartido (shared hosting provider))
  • Todos los elementos de las páginas de pago que son enviadas al navegador del usuario (browser) se originan o desde el sitio web del comercio o desde el proveedor que cumple con PCI DSS
  • El comercio no almacena de forma electrónica, procesa o transmite ningún dato de tarjeta de pago en sus sistemas o instalaciones y delega todo este proceso en un tercero que cumple con PCI DSS
  • El comercio ha confirmado que los terceros vinculados que gestionan la aceptación, almacenamiento, procesamiento y/o transmisión de datos de tarjetas de pago cumplen con PCI DSS
  • El comercio únicamente almacena reportes o recibos en papel con datos de tarjetas de pago y dichos documentos no son recibidos empleando canales electrónicos

Esta versión de SAQ es aplicable únicamente a canales de comercio electrónico.

Ejemplos de SAQ A-EP:

  • Cuando el comercio electrónico es quien provee al cliente de un formulario para la captura de datos de tarjeta y posterior a ello lo envía al centro autorizador (“Direct Post”)
  • Cuando el comercio electrónico carga o envía un script (por ejemplo JavaScript) que se ejecuta en el browser del usuario final y provee funcionalidades que soportan la creación o tienen impacto directo en la forma como los datos son transferidos al centro autorizador.

La versión 3.2 de este SAQ incluye también:

  • Adición de requerimientos relacionados con la configuración segura del servidor web y de la red
  • Controles de acceso y autenticación
  • Gestión de registro de eventos (logs)
  • Procesos y políticas adicionales

Descarga del formulario: SAQ A-EP v3.2 Rev 1.1

Más información: Information Supplement: PCI DSS E-commerce Guidelines y en el artículo “¿Quieres poner en marcha o tienes una tienda online? Sigue estos consejos para cumplir con PCI DSS“.

SAQ B

El SAQ B ha sido desarrollado para gestionar los requerimientos aplicables a comercios que procesan datos tarjetas de pago únicamente por medio de máquinas impresoras o terminales independientes con discado externo. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

Aquellos comercios que reporten su cumplimiento en PCI DSS usando un SAQ B deben confirmar que:

  • La empresa utiliza únicamente máquinas impresoras y/o terminales independientes con discado externo (conectados a través la línea telefónica a su procesador) para registrar la información de la tarjeta de pago de sus clientes
  • Las terminales independientes con discado externo no están conectadas a ningún otro sistema en el entorno
  • Las terminales independientes con discado externo no están conectadas a Internet
  • El comercio no transmite datos de tarjetas de pago por una red (ya sea una red interna o Internet)
  • El comercio únicamente almacena reportes o recibos en papel con datos de tarjetas de pago y dichos documentos no son recibidos empleando canales electrónicos
  • El comercio no almacena datos de tarjetas de pago en formato electrónico

Este SAQ no es aplicable a canales de comercio electrónico.

Descarga del formulario: SAQ B v3.2 Rev 1.1

SAQ B-IP

El nuevo SAQ B-IP (que no se encontraba presente en la versión 2.0 de PCI DSS) ha sido desarrollado para gestionar los requerimientos aplicables a comercios que procesan datos tarjetas de pago únicamente por medio de dispositivos de punto de interacción (point-of-interaction (POI)) aprobados por PCI PTS y con una conexión IP a un procesador de pagos. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

Aquellos comercios que reporten su cumplimiento en PCI DSS usando un SAQ B-IP deben confirmar que:

  • La empresa únicamente utiliza dispositivos de punto de interacción (point-of-interaction (POI)) aprobados por PCI PTS (excluyendo SCRs (Secure (Encrypting) Card Readers)) conectados vía IP al procesador de pago para obtener los datos de la tarjeta de pago del cliente
  • Los dispositivos POI independientes conectados por IP son validados por el programa PTS POI y listados en el sitio web del PCI SSC (excluyendo SCRs)
  • El dispositivo POI independiente conectado por IP no está conectado a ningún otro sistema en el entorno (esto puede ser realizado empleando segmentación a nivel de red para aislar el dispositivo POI de otros sistemas)
  • La única transmisión de datos de tarjetas de pago es desde el dispositivo POI aprobado por PTS al procesador de pagos
  • El dispositivo POI no depende de ningún otro dispositivo (ordenadores, teléfonos móviles, tablets, etc.) para conectarse al procesador de pagos
  • El comercio únicamente almacena reportes o recibos en papel con datos de tarjetas de pago y dichos documentos no son recibidos empleando canales electrónicos
  • El comercio no almacena datos de tarjetas de pago en formato electrónico

Este SAQ no es aplicable a canales de comercio electrónico.

Descarga del formulario: SAQ B-IP v3.2 Rev. 1.1

SAQ C

El SAQ C ha sido desarrollado para gestionar los requerimientos aplicables a comercios cuya aplicación de pago (por ejemplo, un sistema de punto de venta) está conectada a Internet (por ejemplo, a través de DSL, cable módem, etc).

Los comercios que reporten el cumplimiento usando el SAQ C certifican que procesan datos de tarjeta de pago empleando una terminal de punto de venta (TPV/POS) u otros sistemas de aplicación para pagos conectados a Internet. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

Aquellos comercios que reporten su cumplimiento en PCI DSS usando un SAQ C deben confirmar que:

  • La empresa tiene un sistema de aplicación para pagos y una conexión a Internet en el mismo dispositivo y/o en la misma red de área local (LAN)
  • El sistema de aplicación para pagos/dispositivo de Internet no está conectado a ningún otro sistema en el entorno (esto puede ser realizado empleando segmentación a nivel de red para aislar la aplicación de pago/dispositivo de Internet de otros sistemas)
  • La ubicación física del entorno del TPV no está conectada a otras ubicaciones y ni a ninguna otra LAN
  • El comercio únicamente almacena reportes o recibos en papel con datos de tarjetas de pago y dichos documentos no son recibidos empleando canales electrónicos
  • El comercio no almacena datos de tarjetas de pago en formato electrónico

Este SAQ no es aplicable a canales de comercio electrónico.

Para la versión 3.2 se incluyeron los siguientes controles adicionales:

  • Controles de autenticación
  • Requerimientos de seguridad física

Descarga del formulario: SAQ C v3.2 Rev. 1.1

SAQ C-VT

El SAQ C-VT ha sido desarrollado para gestionar los requerimientos aplicables a comercios quienes procesan datos de tarjetas de pago únicamente a través de una terminal de pago virtual aislada en un ordenador personal conectado a Internet. Aquellos comercios que reporten su cumplimiento a través de este SAQ deben ingresar manualmente una transacción a la vez empleando un teclado y una terminal virtual de pago conectada a Internet. Pueden ser comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.

Una terminal virtual es un sistema basado en un navegador (browser) para acceder al sitio web de un adquiriente, procesador o proveedor de servicios para autorizar transacciones de tarjetas de pago, empleando el ingreso manual de dichos datos empleando dicho browser y una conexión segura. A diferencia de terminales de pago físicas,  las terminales de pago virtuales no pueden leer los datos de la tarjeta de forma directa.

Aquellos comercios que reporten su cumplimiento en PCI DSS usando un SAQ C-VT deben confirmar que:

  • La empresa únicamente procesa pagos empleando una terminal de pagos virtual accedida a través de un navegador (browser) conectado a Internet
  • La solución de terminal virtual de pagos empleada por la empresa debe ser provista y alojada en un proveedor de servicios que cumpla con PCI DSS
  • La terminal virtual de pago que cumple con PCI DSS es accedida desde un ordenador que debe estar aislado en una ubicación independiente y no está conectado a ningún otro sistema en el entorno (esto puede ser realizado empleando segmentación a nivel de red para aislar el ordenador de otros sistemas)
  • El ordenador empleado para conectarse a la terminal virtual de pago no contiene software que permita que se almacenen datos de tarjetas de pago (por ejemplo, no hay software para procesamiento por lotes o almacenamiento y transmisión)
  • El ordenador utilizado para la conexión con la terminal de pago virtual no tiene dispositivos de hardware conectados que se utilicen para capturar o almacenar datos de titulares de tarjetas (por ejemplo, lectores de banda magnética)
  • El comercio no recibe o transmite datos de tarjetas de pago de forma electrónica a través de ningún canal (por ejemplo, una red interna o Internet)
  • El comercio únicamente almacena reportes o recibos en papel con datos de tarjetas de pago y dichos documentos no son recibidos empleando canales electrónicos
  • El comercio no almacena datos de tarjetas de pago en formato electrónico

Este SAQ no es aplicable a canales de comercio electrónico.

Para la versión 3.2 se incluyeron los siguientes controles adicionales:

  • Controles de autenticación básicos incluyendo identificadores de usuario únicos, contraseñas robustas, deshabilitación de acceso a usuarios que han dejado la empresa y la prohibición de uso de cuentas grupales y contraseñas compartidas
  • Controles para proteger el CDE de acceso físico no autorizado

Descarga del formulario: SAQ C-VT v3.2 Rev.1.1

SAQ D - Merchant

EL SAQ D para comercios (merchant) aplica a todos aquellos comercios elegibles que no concuerdan con ninguno de los criterios de elección descritos en los anteriores tipos de SAQ. Algunos ejemplos de entornos de comercios que pueden utilizar el SAQ D son:

  • Empresas que usan canales de comercio electrónico que aceptan datos de tarjetas de pago en su propio sitio web
  • Comercios que almacenan de forma electrónica datos de tarjetas de pago
  • Comercios que no almacenan datos de tarjetas de pago pero que no cumplen con el criterio de ninguno de los otros tipos de SAQ
  • Comercios con entornos que pueden cumplir con el criterio de los otros tipos de SAQ pero que tienen requerimientos adicionales de PCI DSS aplicables a su entorno

Descarga del formulario: SAQ D Merchant v3.2 Rev. 1.1

SAQ D - Service Provider

El SAQ D para proveedores de servicio aplica a todos aquellos proveedores de servicio definidos por las marcas de pago como elegibles para reportar su cumplimiento empleando un SAQ.

Descarga del formulario:  SAQ D Service Provider v3.2 Rev. 1.1

SAQ P2PE-HW

El SAQ P2PE HW aplica a todos aquellos comercios que están empleando terminales de pago de hardware incluidas y gestionadas por un proveedor certificado P2PE, sin almacenamiento electrónico de datos de tarjetas de pago.

A diferencia de los demás SAQ, en la versión 3.2 del SAQ P2PE se retiraron dos requerimientos para simplificar la validación de comercios.

Descarga del formulario:  SAQ P2PE-HW v3.2 Rev. 1.1

A continuación se podrá encontrar una hoja de cálculo de Microsoft Excel con un comparativo de los requerimientos de PCI DSS por cada tipo de SAQ definido que puede ser usado como referencia.

Nota: El documento y los controles se encuentran en idioma inglés, debido a que las versiones de los SAQ en español aún no han sido publicadas.

Descarga el comparativo de SAQ PCI DSS v3.2 Rev.1.1

Guía “Understanding the SAQs for PCI DSS” y “SAQ Instructions and Guidelines Version”

En abril de 2015 el PCI SSC publicó el documento “Understanding the SAQs for PCI DSS” que entró a cubrir una serie de preguntas respecto a la elegibilidad y aplicación de los nuevos cuestionarios de auto-evaluación presentados en la versión 3.0 (SAQ A-EP y SAQ B-IP). Dicho documento se encuentra disponible para descarga en https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf. En PCI Hispano se hizo referencia a dicha publicación en el artículo “El PCI SSC publica una guía descriptiva de los SAQ de PCI DSS v3.0“.

A continuación se presentan dos de los apartados más interesantes de dicho documento: la comparación entre los criterios de aplicabilidad del SAQ A vs. SAQ A-EP y SAQ B vs. SAQ B-IP:

Comparación de elegibilidad entre SAQ A y SAQ A-EP

 

Criterio de elegibilidad entre SAQ A vs. SAQ A-EP

Criterio de elegibilidad entre SAQ A vs. SAQ A-EP

Comparación de elegibilidad entre SAQ B y SAQ B-IP

 

Criterio de elegibilidad entre SAQ B vs. SAQ B-IP

Criterio de elegibilidad entre SAQ B vs. SAQ B-IP

Finalmente, para aclarar dudas respecto a la versión 3.2 de los SAQ, se publicó el documento “SAQ Instructions and Guidelines Version” que incluye un diagrama de flujo para establecer el tipo de SAQ que aplica a cada organización dependiendo de sus canales de pago (Sección “Which SAQ Best Applies to My Environment?”):

Which_SAQ

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia.