Un Cuestionario de Auto-Evaluación (“Self Assessment Questionnaire” – SAQ) es un subconjunto de controles de PCI DSS aplicados a un escenario específico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento mediante una auto-evaluación de los mismos y una confirmación de que dicho trabajo se ha realizado siguiendo las indicaciones del PCI SSC.

Actualmente, para PCI DSS v3.2 se han definido 9 tipos de SAQ con las siguientes casuísticas:

SAQ Descripción
SAQ A Aplicable a comercios que implementan transacciones no presenciales ("Card-Not-Present" - CNP, como comercio electrónico ("E-Commerce") o recepción de órdenes por teléfono o correo (MOTO)), que tienen completamente externalizadas las funciones de datos de tarjetas de pago en un proveedor certificado en PCI DSS y que no tienen almacenamiento electrónico, procesamiento o transmisión de ningún dato de tarjeta de pago en sus sistemas o instalaciones.
SAQ A-EP Aplicable a comercios electrónicos que delegan todo el procesamiento de pagos a proveedores validados por PCI DSS y que tienen un sitio web que no recibe directamente los datos de tarjeta de pago pero que sí puede impactar en la seguridad de la transacción de pago. No tienen almacenamiento, procesamiento o transmisión de datos de tarjeta de pago en sus sistemas o instalaciones.
Aplicable únicamente a canales de comercio electrónico.
SAQ B Aplicable a comercios que usan únicamente:
- Máquinas impresoras ("imprint machines") sin almacenamiento electrónico de datos de tarjeta de pago
y/o
- Terminales de pago independientes con discado externo sin almacenamiento electrónico de datos de tarjeta de pago
No aplicable a canales de comercio electrónico.
SAQ B-IP Aplicable a comercios que usan únicamente terminales de pago / dispositivos de punto de interacción (point-of-interaction (POI)) aprobados por PCI PTS y con una conexión IP a un procesador de pagos, sin almacenamiento electrónico de datos de tarjeta de pago.
No aplicable a canales de comercio electrónico.
SAQ C Aplicable a comercios cuya aplicación de pago (por ejemplo, un sistema de punto de venta) está conectada a Internet, sin almacenamiento electrónico de datos de tarjeta de pago.
No aplicable a canales de comercio electrónico.
SAQ C-VT Aplicable a comercios que ingresan manualmente una transacción a la vez a través de un teclado en una terminal de pago virtual conectada a internet y provista por un proveedor validado en PCI DSS. No tienen almacenamiento, procesamiento o transmisión de datos de tarjeta de pago en sus sistemas o instalaciones.
No aplicable a canales de comercio electrónico.
SAQ P2PEs Aplicable a comercios que únicamente usan terminales de pago de hardware incluídas y gestionadas por un proveedor de soluciones P2PE listado en el sitio web del PCI SSC, sin almacenamiento electrónico de datos de tarjeta de pago.
No aplicable a canales de comercio electrónico.
SAQ D para comercios Aplicable a los comercios que no coinciden con ninguna de las descripciones de los tipos de SAQ anteriores.
SAQ D para proveedores de servicios Aplicable a todos los proveedores de servicio definidos por una marca de tarjetas de pago como elegible para completar un SAQ.

A pesar de la claridad en las descripciones de cada SAQ, los comercios y los proveedores de servicio elegibles suelen cometer bastantes errores durante el proceso de relleno y presentación del cuestionario de auto-evaluación que les aplica.

Con el fin de evitar potenciales problemas legales e incidentes de seguridad debidos a una falsa sensación de seguridad vinculada con un cuestionario de auto-evaluación mal rellenado, a continuación enumeramos los 5 principales errores que debes evitar cuando rellenas un Cuestionario de Auto-evaluación (SAQ) de PCI DSS:

ERROR 1: Tratar dicho documento como un mero trámite burocrático

El SAQ está pensado como un ejercicio de evaluación con miras a evitar riesgos innecesarios. No es solamente un documento, es el resultado de un examen exhaustivo de una compañía que se asume que toma en serio la seguridad de los datos de sus clientes.

Por ello, requiere del trabajo mancomunado de todas las áreas de la organización que tratan directa o indirectamente con datos de tarjeta y contar con el soporte de la Dirección. El cumplimiento con PCI DSS debería ser asumido como una tarea preventiva y ser incluido dentro de la cultura de seguridad de la información de la empresa. Es indispensable que se valoren los beneficios aportados por esta validación y que se implementen las tareas correctivas derivadas de la detección de no cumplimientos.

ERROR 2: Considerar que el SAQ evitará cualquier multa

La efectividad del SAQ se asimila a la de un seguro de vida: solamente se conoce cuando ocurre un incidente. Si un comercio afirma en su SAQ que cumple con los requerimientos de PCI DSS siendo falso, las multas, gastos forenses, pérdida de imagen y demandas deberán ser asumidas en su totalidad por dicho comercio. Más información en el artículo “Una revisión a los 10 mitos comunes de PCI DSS“.

El apartado 3a. “Reconocimiento de estado” del SAQ especifica de forma explícita que los firmantes (el comercio o proveedor de servicio representados en un Oficial Ejecutivo y – si aplica – el asesor QSA) reconocen que han rellenado correctamente el SAQ y que han minimizado el riesgo mediante la implementación de los controles de PCI DSS. Debido a que es un documento firmado, su aplicabilidad en términos legales es similar a la de un contrato.

Figura 1. Extracto de SAQ B sección 3a. “Reconocimiento de estado”

ERROR 3: Rellenar el SAQ sin identificar el entorno de aplicabilidad y sin realizar las revisiones pertinentes

Tal como se comentaba anteriormente, cada SAQ está focalizado a un entorno en particular. Para identificar qué SAQ aplica a cada entorno, se puede emplear el siguiente flujograma:

Figura 2. Flujograma para la identificación del tipo de SAQ que aplica en función de los canales del comercio o del proveedor de servicios

Si se presenta un SAQ que no coincide con la realidad del entorno de pago, se puede incurrir en múltiples problemas, como se explicó en el ERROR 2: “Considerar que el SAQ evitará cualquier multa”.

Por otro lado, un SAQ debe ser contestado con bases justificables y evidencias. Si no se conoce el estado de cumplimiento o no se han desarrollado acciones de implementación de un control en particular, es preferible reportar que no se cumple con dicho requisito y definir fechas límites que permitan la definición de un plan de mitigación acorde con las necesidades. Este plan debe ser descrito en el mismo SAQ Parte 4. “Plan de acción para los requisitos por falta de cumplimiento” con fechas realistas y acciones alcanzables.

Figura 3. Plan de acción para los requisitos por falta de cumplimiento

De hecho, para facilitar la tarea de implementación de los controles de PCI DSS, el Council ha publicado una guía de priorización que permite abordar de una forma metodológica el despliegue de los controles del estándar con base en el riesgo gestionado y hacer un diferencial entre el estado “óptimo” y el estado “actual” del entorno.

Si se reporta un SAQ que incluye incumplimientos, no hay problema: La entidad que ha solicitado el SAQ (bancos adquirientes o las propias marcas) se encarga de hacer un seguimiento periódico de las fechas de corrección estipuladas hasta que todo esté correctamente rellenado.  Bajo estos criterios, es mejor informar que se están desarrollando acciones correctivas y no reportar un cumplimiento inexistente que puede dejar a la organización a merced de potenciales riesgos.

ERROR 4: SAQ rellenado por una persona sin conocimiento técnico o administrativo de la organización

El SAQ no es una “encuesta personal”. Debe ser rellenado correlacionando la información de diferentes fuentes en la organización y preferiblemente por alguien que garantice cierta “independencia” y que tenga un conocimiento profundo de los flujos operativos relacionados con pagos en la empresa.

Idealmente, la gestión de las validaciones de aplicabilidad y cumplimiento de los controles de PCI DSS debería recaer en la persona responsable de seguridad o de auditoría. En su defecto, esta tarea debería ser asumida por alguien con conocimientos técnicos de controles de seguridad y soportada por los criterios de un Asesor QSA o un profesional PCIP o PCI ISA.

Por otro lado, el objetivo es responder cada pregunta de PCI DSS con el estado REAL de implementación del control, tal forma que se refleje la realidad del cumplimiento con base en los resultados de las pruebas esperadas descritas al frente de cada requerimiento:

Figura 4. Preguntas del PCI DSS, pruebas esperadas y respuestas

Las posibles respuestas son enumeradas en la siguiente tabla:

Figura 5. Posibles respuestas a los controles de PCI DSS en el SAQ

A pesar de que no se exige una “explicación” del cumplimiento de cada requerimiento, es recomendable que en el proceso de validación interno realizado por la organización se centralicen las evidencias obtenidas. Esto es particularmente útil en el caso de que la entidad que exige el cumplimiento solicite explicaciones adicionales.

ERROR 5: Presentar el SAQ sin su AoC (Attestation of Compliance)

Una “declaración de cumplimiento” (“Attestation of Compliance” – AoC) es un documento adicional que SIEMPRE debe acompañar al formulario del Cuestionario de Auto-Evaluacion (SAQ). Es una versión “simplificada” del SAQ que debe ir alineado con las respuestas descritas en este último y firmado por un Oficial Ejecutivo de la empresa.

Figura 6. Documentación de soporte de los cuestionarios de auto-evaluación

De acuerdo con esto, se debe validar que tanto el SAQ como su AoC relacionado estén rellenados correctamente y firmados ANTES de enviarlos a la entidad que ha solicitado su presentación. La presentación de un SAQ sin un AoC invalida cualquier reporte de cumplimiento.

El formulario de la declaración de cumplimiento (AoC) se puede descargar de la misma pagina en la que se encuentran los formularios de SAQ.

Tal y como se ha explicado, el proceso de relleno del SAQ y su AoC correspondiente conlleva una serie de tareas técnicas y administrativas que deben ser tomadas con la mayor seriedad y compromiso por el comercio o el proveedor de servicio elegible. Es importante tener presente que por el hecho de ser un formulario de auto-evaluación no implica que la obligatoriedad de la implementación de los controles de PCI DSS sea menor. Al contrario, se trata de un ejercicio de confianza con miras a asegurar la cadena de cumplimiento de seguridad en las transacciones con tarjeta de pago.

¿Tienes dudas? No olvides echarle un vistazo al artículo “Todo lo que siempre has querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación) de PCI DSS v3.2 Rev.1.1 (Incluye comparativo en Excel de los tipos de SAQ)” o dejarnos tu pregunta en el foro.