Mostrando 4 respuestas a los debates
  • Autor
    Entradas
    • #44469
      Atila6
      Participante

      Estimado(s),
      Me queda la duda de saber cómo se clasifican aquellos comercios que realicen menos de 1 millón de transacciones de e-commerce pero también realicen transacciones por otras canales y que la suma supere el millón de transacciones. ¿Sería Nivel-2 o Nivel-3? El comercio te diría sin dudar que Nivel-3. Donde podria encontrar mayor detalle. Gracias.

    • #44595
      David Acosta
      Participante

      Buenas tardes:
      Antes que nada, es muy importante aclarar que las clasificaciones de comercios y los umbrales son definidos por cada marca, por lo que todo depende con qué marca de pago trabajes (VISA, AMEX, MasterCard, DISCOVER, JCB) y en la zona geográfica en la cual estés ubicado.
      En el artículo «Niveles de cumplimiento y requerimientos de las marcas para comercios y proveedores de servicio en PCI DSS» http://www.pcihispano.com/niveles-de-cumplimiento-y-requerimientos-de-las-marcas-para-comercios-y-proveedores-de-servicio-en-pci-dss/ podrás encontrar una descripción acerca de los niveles de cumplimiento y los requerimientos por cada marca.
      Por poner un ejemplo: En tu caso (y asumiendo que trabajas con VISA Inc. para Latinoamérica) tiene los siguientes niveles:
      + NIVEL 1: Más de 6 millones de transacciones anuales (todos los canales)
      + NIVEL 2: Entre 1 y 6 millones de transacciones anuales (todos los canales)
      + NIVEL 3: Entre 20.000 y 1 millón de transacciones anuales por comercio electrónico
      + NIVEL 4: Menos de 20.000 transacciones anuales por comercio electrónico y cualquier otro comercio con más de 1 millón de transacciones en otros canales
      Bajo estos umbrales, el comercio clasificaría en el Nivel 3.
      No obstante, ten presente que no es el comercio quien decide en qué nivel está, sino su centro autorizador (que en últimas es quien puede tener control de todas las transacciones procesadas), por lo que mi recomendación es contactar a tu centro autorizador y que sean ellos quienes te definan a qué nivel perteneces. Inclusive, dependiendo del país estos umbrales pueden variar.
      En términos prácticos, estar en un nivel 2, 3 o 4 no tiene mucha diferencia, ya que en todos se tiene que rellenar un SAQ y un AoC y ejecutar los escaneos ASV.
      Espero que esta respuesta te sea de utilidad.

    • #44596
      Atila6
      Participante

      Muchas gracias por tu respuesta, tengo 2 consultas adicionales, exactamente quien vendria hacer mi Centro autorizador la marca? el adquiriente? siendo yo el comercio. La otra consulta es si fuera el caso que sea yo un nivel3 que SAQ deberia completar, ya que existen varios (revisar URL: https://es.pcisecuritystandards.org/minisite/en/saq-v3.0-documentation.php) quedo a la espera de tu respuesta. Gracias denuevo.

    • #44597
      Atila6
      Participante

      Estimado David, tenia una nueva consulta, y me gustaría me puedas ayudar con la misma.
      Un Adquiriente puede exigir que contraten un QSA para llenar el cuestionario de autoevaluación, cuando el comercio que ellos tienen solo transacciona poco más de 20,000 txs al año, y en teoría está en el Nivel3. Pregunta ¿existe algún reglamento de PCI que indique esto o no? ¿el comercio podría solo llenar su cuestionario?. Quedo atento a tu respuesta.

    • #44598
      David Acosta
      Participante

      Buenas tardes:
      Respecto a la primera pregunta, quien te debe solicitar el SAQ y a quien se lo debes remitir es a tu adquiriente; esto es: a aquel proveedor al cual le envías los datos de tarjeta para que confirme si la transacción se autoriza o no. El tipo de SAQ que debes cumplir depende de los canales de pago que tengas implementados. Mira el apartado «Tipos de Cuestionarios de Auto-evaluación y su aplicabilidad» en el artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/
      De la segunda pregunta, cada adquiriente – con base en lo estipulado por las marcas – puede gestionar sus SAQ con base en el riesgo. Si eres un comercio que ha tenido incidentes de seguridad en el pasado o los productos/servicios que vendes pueden tener un nivel de riesgo alto – entre otros criterios – pueden pedir que rellenes un SAQ por tí mismo o que pidas la ayuda de un QSA, quien te ayudará con la implenmentación y evaluación de los controles y es una muy buena opción para conocer el estado actual de seguridad implementado en tu empresa desde la perspectiva de un profesional de seguridad de tarjetas de pago.
      En conclusión: El SAQ es un formulario para reportar el cumplimiento que rellena el propio comercio, pero algunas veces – y dependiendo del riesgo – se puede pedir (directamente por las marcas o el mismo adquiriente) que uses los servicios de un QSA.
      Espero que esta información te sea útil.

Mostrando 4 respuestas a los debates
  • Debes estar registrado para responder a este debate.