您适用哪一个 PCI DSS SAQ 类型?
PCI DSS Self-Assessment Questionnaire (以下简称SAQ) 是用来检视支付系统合规状态的自我评估表,适用于特约商店等级 2-4 及服务供应商等级 2。
为了 PCI DSS 规范所设计的问卷,用来评估组织是否符合各项要求,以 Visa 规定为例,特约商店每年度总交易量在600万笔以下,或服务供应商每年度交易数在30万笔以下适用。
Table of Contents
PCI DSS SAQ 自我评估五个步骤
-
选择适用你的 SAQ 类型。
-
确认您的 PCI DSS 环境范围是否正确。
-
自我评估是否符合 PCI DSS 相关条文要求。
-
填写 SAQ 文件,包含评估资讯、自评问卷及细节证明。
-
提交 SAQ 的评估结果、Attestation of Compliance (AOC) 文件给提出要求的组织 (收单机构)。
以上,最重要的是,选择适用你的 SAQ 类型!
以电子商务为例,可能适用以下三种版本:
服务商
仅适用SAQ D for Service Provider 版本,除了包含SAQ D for Merchant 所要求的项目外,另外增加是否有文件及提供给客户、政策程序检查、配置检查、有无告警、渗透测试纪录等类型项目,多达259 个问题。
商戶
-
SAQ A
当你的支付系统为完全委外服务供应商 (如,支付页使用URL Redirect、iFrame方式)。 SAQ A需确认内容可分为检查文件、检查配置、检查政策程序、检查资料的保存与移除、外部弱点扫描报告等,此版本为所有SAQ 版本中最短,只有 29 个问题。
-
SAQ A-EP
当你的支付系统为委外服务供应商处理,且支付页面为自行建置。 SAQ A-EP需确认内容,除了上述SAQ A 项目之外,另外还增加了网路管理、主机管理、资料安全、弱点管理、存取控制、定期监控及测试网路等的部分,要求项目将会因为现行系统参与了部分的支付服务而有大幅度的增加。
-
SAQ D for Merchant
当你的支付系统为自行建置,或在交易的过程中以电子形式储存任何持卡人资料时。 SAQ D for Merchant 确认内容较上述SAQ A-EP 条文包含更广,适用 PCI DSS 中 Merchant 所有要求。
PCI DSS SAQ 共有10 种不同类型,各类型的判断基准,是依据你所提供支付服务的不同而对应不同类型,通常是透过收单机构告知,或藉由QSA 协助检视CDE (Cardholder Data Environment) 环境、持卡人资料(如卡号) 的相关作业流程及资料流程等,来准确地判断适用类型,或先参考下方 PCI DSS SAQ 类型说明 来做简易判断。
建议:PCI DSS SAQ 是需要每年定期进行评估及更新,若您尚未具备PCI DSS 相关知识或需要了解更详细的SAQ 类型差异,可直接寻求QSA 或QSAC 的专业意见,以有效且准确地达成PCI DSS合规。
