Etiquetado: , , ,

Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 4 meses, 3 semanas.

  • Autor
    Publicaciones
  • #48510
    Avatar
    Jesus Repiso
    Participante

    Hola buenas,

    Hace ya tiempo que no participo en el foro debido a un parón en el proyecto. Gracias a los participantes por mantenerlo vivo.

    Estamos en un caso de comercio presencial en el que nuestro PINPAD esta homologado para PCI con un servicio de pasarela de pago externo, que es PCI DSS. No obstante no nos han ofrecido una opción de servicio P2PE, lo cual nos deja con la duda de que cuestionario deberíamos rellenar.
    El caso especial de nuestros PINPADs es que no tienen IP, están unidos al TPV mediante RS232 para establecer que el cobro se ha realizado con éxito y poder cerrar el ticket.

    Nuestra duda sería que SAQ deberíamos rellenar, dado que no llegamos al mínimo para tener que rellenar un SOC:
    – P2PE: Entendemos que no, debido a que aunque el cifrado es extremo a extremo y nadie en nuestra organización tiene las claves para descifrar estos mensajes, al no estar homologada P2PE ésta no sería una opción.
    – B: Entendemos que no, debido a que solo se trata de los terminales que van por linea telefónica.
    – B-IP: Tenemos la duda debido a que técnicamente nuestros PINPADs no tienen IP, pero entendemos que sería la que más se asemejaría a nuestro caso.

    Gracias una vez más, un saludo.

  • #48625
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jesús:

    Supongo que el entorno que comentas es un entorno SNCP, por aquello del cifrado punto a punto.

    Aquí, varias cosas:

    • La selección del SAQ no la deberías hacer tu, te la debería informar el adquiriente o el proveedor del servicio de autorización, como se indica en la FAQ #1443 «Merchants should always consult with their acquirer (merchant bank) or the payment brands directly to determine if they are eligible or required to submit an SAQ, and if so, which SAQ is appropriate for their environment.»
    • En el caso de que esto no sea así (lo cual es extraño) entonces, si usas SNCP, podrías quedar categorizado como categoría 1 o categoría 2 y rellenar un cuestionario simplificado dependiendo si tienes acceso o no al PAN en claro.
    • Si ninguno de los dos escenarios anteriores es el tuyo, entonces lo más cercano a este entorno sería un SAQ D con múltiples N/A en aquellos requerimientos que no aplican y con una explicación del entorno SNCP:

    SAQ D for Merchants applies to SAQ-eligible merchants not meeting the criteria for any other SAQ type.
    Merchants that don’t store cardholder data electronically but that do not meet the criteria of another SAQ type

    Sin embargo, esto debe ser gestionado con el adquiriente o con el proveedor de servicios, ya que de forma unilateral el comercio no puede escoger su SAQ. La otra alternativa sería consultarlo directamente con un asesor QSA.

    Y no te preocupes: el problema que comentas es muy común en España, ya que el modelo SNCP no está correctamente regularizado y al no ser P2PE o NESA no se puede equiparar a una solución certificada para que los comercios usen un SAQ P2PE. Y esto con el agravante que los adquirientes tampoco saben cómo proceder: unos bancos te dicen una cosa y otros otra…

    Espero que esta información te sirva.

    David

Debes estar registrado para responder a este debate.