VISA_SAQ

En Marzo de 2014 el PCI SSC publicó la versión 3 de los Cuestionarios de Auto-Evaluación (SAQ), en los que se re-organizan tanto los requerimientos como los criterios de elegibilidad para catalogar los comercios. Esta nueva versión de los SAQ llegó a cubrir un vacío en la gestión del riesgo de los datos de tarjetas de pago implementada hasta ese momento, sobre todo con relación al comercio electrónico. Pero no todo fue perfecto: con la llegada de estas nuevas versiones del SAQ surgieron múltiples preguntas entre los comercios e inclusive los propios QSA, por lo que el Council publicó una guía descriptiva aclarando muchos de estos conceptos. En PCI Hispano se publicó una revisión detallada de los requerimientos y los controles de los cuestionarios, así como un comparativo de las nuevas versiones (SAQ A vs. SAQ A-EP y SAQ B vs. SAQ B-IP).

En el caso de transacciones no presenciales a través de comercio electrónico (e-commerce), el criterio de elegibilidad entre el SAQ A y el SAQ A-EP es muy sutil y se puede prestar a interpretaciones erróneas, lo cual – si no es bien gestionado – puede redundar en problemas para el comercio e inclusive multas por parte de los centros autorizadores o de las marcas. Es por ello que Visa acaba de publicar el documento “Processing e-commerce payments: A guide to security and PCI DSS requirements“, en el cual analiza puntualmente el SAQ A y el SAQ A-EP, los diferentes tipos de formas para capturar y enviar los datos de tarjetas de pago al centro autorizador, el riesgo de cada modelo y la documentación a presentar para demostrar el cumplimiento de PCI DSS, todo esto apoyado con diagramas y explicaciones detalladas:

Tabla comparativa de transacciones anuales vs. documentación de cumplimiento

Tabla comparativa de transacciones anuales vs. documentación de cumplimiento

A pesar de ser un documento de Visa, los criterios de cumplimiento son generales a las demás marcas sin exclusión.

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.