您適用哪一個 PCI DSS SAQ 類型?
PCI DSS Self-Assessment Questionnaire (以下簡稱SAQ) 是用來檢視支付系統合規狀態的自我評估表,適用於特約商店等級 2-4 及服務供應商等級 2。
為了 PCI DSS 規範所設計的問卷,用來評估組織是否符合各項要求,以 Visa 規定為例,特約商店每年度總交易量在600萬筆以下,或服務供應商每年度交易數在30萬筆以下適用。
Table of Contents
PCI DSS SAQ 自我評估五個步驟
選擇適用你的 SAQ 類型。
確認您的 PCI DSS 環境範圍是否正確。
自我評估是否符合 PCI DSS 相關條文要求。
填寫 SAQ 文件,包含評估資訊、自評問卷及細節證明。
提交 SAQ 的評估結果、Attestation of Compliance (AOC) 文件給提出要求的組織 (收單機構)。
以上,最重要的是,選擇適用你的 SAQ 類型!
以電子商務為例,可能適用以下三種版本:
服務供應商
僅適用 SAQ D for Service Provider 版本,除了包含 SAQ D for Merchant 所要求的項目外,另外增加是否有文件及提供給客戶、政策程序檢查、配置檢查、有無告警、滲透測試紀錄等類型項目,多達 259 個問題。
商店
SAQ A
當你的支付系統為完全委外服務供應商 (如,支付頁使用URL Redirect、iFrame方式)。SAQ A需確認內容可分為檢查文件、檢查配置、檢查政策程序、檢查資料的保存與移除、外部弱點掃描報告等,此版本為所有SAQ 版本中最短,只有 29 個問題。
SAQ A-EP
當你的支付系統為委外服務供應商處理,且支付頁面為自行建置。SAQ A-EP需確認內容,除了上述 SAQ A 項目之外,另外還增加了網路管理、主機管理、資料安全、弱點管理、存取控制、定期監控及測試網路等的部分,要求項目將會因為現行系統參與了部分的支付服務而有大幅度的增加。
SAQ D for Merchant
當你的支付系統為自行建置,或在交易的過程中以電子形式儲存任何持卡人資料時。SAQ D for Merchant 確認內容較上述SAQ A-EP 條文包含更廣,適用 PCI DSS 中 Merchant 所有要求。
PCI DSS SAQ 共有 10 種不同類型,各類型的判斷基準,是依據你所提供支付服務的不同而對應不同類型,通常是透過收單機構告知,或藉由 QSA 協助檢視 CDE (Cardholder Data Environment) 環境、持卡人資料 (如卡號) 的相關作業流程及資料流程等,來準確地判斷適用類型,或先參考下方 PCI DSS SAQ 類型說明 來做簡易判斷。
建議:PCI DSS SAQ 是需要每年定期進行評估及更新,若您尚未具備 PCI DSS 相關知識或需要瞭解更詳細的 SAQ 類型差異,可直接尋求 QSA 或 QSAC 的專業意見,以有效且準確地達成 PCI DSS 合規。
