Mostrando 5 respuestas a los debates
  • Autor
    Entradas
    • #44448
      Diego
      Participante

      Buenas,
      Quería aclarar cuales son los canales de venta aceptados para e-commerce. Según las guidelines publicadas por el Council, e-commerce atiende a los entornos donde comercios aceptan pagos de tarjeta a través de internet.

      Mi pregunta es: si mi operador de call-center utiliza la misma pasarela de pagos que en el canal de venta internet pero adaptada para el canal telefónico ¿es también e-commerce?

      Lo digo por poder utilizar el SAQ_A-EP en vez del SAQ_A.

    • #44560
      David Acosta
      Participante

      Hola Diego:
      No. En este caso lo que estaría usando el call center para ingresar los datos del titular que obtiene vía telefónica es un POS (TPV), en cuyo caso se requiere el uso del SAQ C o del SAQ C-VT (en caso que el TPV sea vía web (virtual)).
      Revisa lo que comento en este artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/
      Saludos,
      David

    • #44561
      Diego
      Participante

      Hola David, gracias por la respuesta pero me ha generado otra duda: ¿qué diferencia hay entre el SAQ A-EP y el SAQ C-VT? ¿cuales son los canales de comercio electrónico?

      Para el SAQ A es un canal de comercio electrónico, y el SAQ C no pero según indicas en el post aplica sobre «comercios que procesen transacciones presenciales o pagos por teléfono o correo (tarjeta no presente) y que no almacenan datos de tarjetas de pago en ningún sistema informático.»

    • #44562
      David Acosta
      Participante

      Hola Diego:
      El tema es muy sencillo:
      + Cuando tu (como cliente) digitas los datos de TU tarjeta en un formulario perteneciente a un comercio electrónico (al final de una cesta de compras o en un pedido online), aplicaría un SAQ A o SAQ A-EP. Ejemplo: una tienda online cualquiera con pago con tarjetas.
      + Cuando tu (como cliente) le DAS (casi siempre dictados) los datos a otra persona (personal de atención de un call center, ventas telefónicas, etc.) para que los digite para hacer una compra y esa persona usa un TPV Virtual (un sitio web con un formulario para ingreso de datos de tarjetas, casi siempre orientado a empresas) para autorizar la transacción, entonces debes cumplir el SAQ C-VT. Si ese aplicativo para la captura de estos datos no es web, aplica el SAQ C. Ejemplo: aquí en España los bancos, cajas y centros autorizadores te proveen TPV normales y virtuales. BBVA, RedSys, Banco Sabadell, etc.
      Como ves, la diferencia radica en QUIEN digita los datos y en donde.
      Saludos,
      David

    • #44563
      NicolasRicci
      Participante

      David,
      Me meto en el topic para realizarte una consulta sobre los SAC A y A-EP.
      Ya que los dos tratan de comercio electronico pero no logro identificar la diferencia entre uno y otro. Tengo entendido que el A tiene tercerizado todo el pago a un proveedor y el A-EP tambien, sin embargo la seguridad puede verse comprometida por la compañia. Podrias detallarme mas esto?
      Me dirias ejemplos de empresas que aplicarian a uno y a otro?
      Sdos

    • #44564
      David Acosta
      Participante

      Hola Nicolás:
      Gracias por escribir.
      + Ejemplos de SAQ A:
      – Cualquier comercio que no tenga acceso a su website, pero que dicho web site sea totalmente alojado y gestionado por un procesador de pagos PCI DSS compliant.
      – Un comercio electrónico que use un iFrame que redireccione TODO el proceso de captura y transmisión de datos de tarjeta de pago a un tercero que cumple con PCI DSS (centro autorizador)
      – Un comercio que en el momento de pago le facilite al cliente una URL para redirigir todo el proceso de captura de datos de tarjeta de pago a un tercero que cumple con PCI DSS
      + Ejemplos de SAQ A-EP:
      – Cuando el comercio electrónico es quien provee al cliente de un formulario para la captura de datos de tarjeta y posterior a ello lo envía al centro autorizador («Direct Post»)
      – Cuando el comercio electrónico carga o envía un script (por ejemplo JavaScript) que se ejecuta en el browser del usuario final y provee funcionalidades que soportan la creación o tienen impacto directo en la forma como los datos son transferidos al centro autorizador.
      Como ves, en el SAQ A el riesgo y responsabilidad del comercio es menor (se ha delegado en un tercero que cumple con PCI DSS) mientras que en el SAQ A-EP el comercio tiene incidencia en la forma como los datos de tarjeta son capturados y/o enviados al centro autorizador y el riesgo es mayor.
      Más información en http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/
      Saludos,
      David

Mostrando 5 respuestas a los debates
  • Debes estar registrado para responder a este debate.