Dotazník pro sebehodnocení SAQ (Self Assessment Questionaire) je nástroj pro obchodníky a poskytovatele služeb na posouzení a prokázání shody / souladu s PCI DSS. Podle kategorizace může být dostatečným způsobem pro validaci.
Konkrétní verzi a typ dotazníku vždy potvrdí obchodníkovi společnost, které mu zajišťuje akceptace platebních karet a poskytovateli služeb subjekt, kterému jsou poskytovány služby.
SAQ | Pro koho je určen |
Pro obchodníky s transakcemi bez přítomnosti karty (card-not-present; E-commerce nebo MO/TO obchodníci), kteří zcela vyčlenili všechny aktivity spojené s platebními kartami třetím stranám – certifikovaným PCI DSS poskytovatelům služeb. Obchodníci elektronicky neukládají, nepřenášejí ani nezpracovávají data držitelů karet ve svých systémech nebo prostorách. Není určené pro obchodníky s kamennou fyzickou provozovnou (face-to-face). | |
E-commerce obchodníci, kteří vyčlenili veškeré zpracování plateb PCI DSS certifikovaným třetím stranám, a kteří mají webové stránky, které nemají přímý přístup k datům držitelů karet, ale mohou ovlivnit bezpečnost platební transakce. Obchodníci elektronicky neukládají, nepřenášejí ani nezpracovávají data držitelů karet ve svých systémech nebo prostorách. Určené pouze pro e-commerce obchodníky. | |
Obchodníci, kteří používají buď imprintery („žehličky“), kteří elektronicky neukládají data držitelů karet nebo samostatné terminály s vytáčeným připojením, kteří neukládají elektronicky data držitelů karet Není určené pro e-commerce obchodníky. | |
Obchodníci, kteří neukládají elektronicky data držitelů karet a používají jen samostatný platební terminál s platnou PTS certifikací s IP konektivitou na platebního procesora. Není určené pro e-commerce obchodníky. | |
Obchodníci, kteří neukládají elektronicky data držitelů karet a mají platební aplikací připojenou k internetu a tato aplikace/zařízení není napojena na interní síť obchodníka. Není určené pro e-commerce obchodníky. | |
Obchodníci, kteří manuálně zadávají každou jednotlivou transakci přes klávesnici do virtuálního platebního terminálu na internetu, který je poskytován a hostován třetí stranou – PCI DSS certifikovaným poskytovatelem služeb. Obchodník neukládá data držitelů karet v elektronické podobě. Není určené pro e-commerce obchodníky. | |
Obchodníci, kteří používají pouze hardware terminály zahrnuté a řízené prostřednictvím certifikovaného PCI SSC P2PE řešení, které elektronicky neukládá data držitelů karet. Není určené pro e-commerce obchodníky Certifikované aplikace P2PE naleznete zde. | |
D |
|
SAQ A byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří mají veškeré funkce týkající se dat držitelů karet dodány od ověřeného dodavatele služeb, kde obchodník drží pouze papírové záznamy a účtenky s daty držitelů karet.
SAQ A obchodníci mohou být buď e-commerce nebo MO/TO obchodníci (karta nepřítomna), kteří neuchovávají, nezpracovávají, nebo nepřenášejí žádná data držitelů karet v elektronické podobě ve svých systémech, úložištích nebo prostorách.
SAQ A je určen pro vás, pokud:
Navíc pro e-commerce kanály:
Tento SAQ se nevztahuje na face-to-face kanály.
Ke stažení:
PCI DSS SAQ A 3.2.1. CZ
PCI DSS SAQ A 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
SAQ A-EP byl vypracován tak, aby zohlednil požadavky vztahující se na e-commerce obchodníky s webovými stránkami, které samy o sobě nepřijímají data držitelů karet, ale které ovlivňují bezpečnost platební transakce a/nebo integrity stránky, která přijímá kartová data zákazníka.
SAQ A-EP obchodníci jsou e-commerce obchodníci, kteří částečně outsourcují svůj e-commerce platební kanál na třetí stranu ověřenou podle standardu PCI DSS a kteří elektronicky neuchovávají, nezpracovávají ani nepřenášejí žádná data držitelů karet ve svých systémech nebo prostorách.
SAQ A-EP je určen pro vás, pokud:
Tento SAQ se vztahuje pouze na e-commerce kanály.
Ke stažení:
PCI DSS SAQ A-EP 3.2.1. CZ
PCI DSS SAQ A-EP 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
SAQ B byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze prostřednictvím imprinterů („žehliček“) nebo samostatných terminálů s telefonním připojením. SAQ B obchodníci mohou být obchodníci působící buď v „kamenných obchodech“ (karta přítomna) nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému.
SAQ B je určen pro vás, pokud:
Tento SAQ se nevztahuje na e-commerce kanály.
Ke stažení:
PCI DSS SAQ B 3.2.1. CZ
PCI DSS SAQ B 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
SAQ B-IP byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze přes samostatné terminály schválené jako PTS POI zařízení připojené přes IP Protokol na platebního procesora.
SAQ B-IP obchodníci mohou být obchodníci působící buď v kamenném obchodě (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému.
SAQ B-IP je určen pro vás, pokud:
Tento SAQ se nevztahuje na e-commerce kanály.
Ke stažení:
PCI DSS SAQ B-IP 3.2.1. CZ
PCI DSS SAQ B-IP 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
Dotazník SAQ C byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, jejichž systémy s platební aplikací (například systémy POS) jsou připojené k internetu (např. přes DSL, kabelový modem apod.).
SAQ C obchodníci zpracovávají data držitelů karet přes POS (point-of-sale) systém nebo jinou platební aplikaci připojenou k internetu, neuchovávají data držitelů karet v žádném počítačovém systému a mohou to být obchodníci působící buď v „kamenných obchodech“ ( karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).
SAQ C dotazník je určen pro vás, pokud:
Tento SAQ se nevztahuje na e-commerce kanály.
Ke stažení:
PCI DSS SAQ C 3.2.1. CZ
PCI DSS SAQ C 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
SAQ C-VT byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet prostřednictvím samostatných virtuálních platebních terminálů na počítačích připojených k internetu.
Virtuální platební terminál je založený na webovém prohlížeči s přístupem na stránky acquirera (zpracovatelské banky), procesora nebo třetí strany (poskytovatele služeb) za účelem autorizace karetních transakcí, kdy obchodník manuálně zadává data držitelů karet prostřednictvím zabezpečeného webového prohlížeče. Oproti fyzickým terminálům nenačítají virtuální terminály data přímo z platební karty. Vzhledem k tomu, že se platební transakce zadávají ručně, virtuální terminály se používají namísto fyzických terminálů u obchodníků s nízkými objemy transakcí.
SAQ C-VT obchodníci zpracovávají data držitelů karet přes virtuální platební terminály a neuchovávají data držitelů karet v žádném počítačovém systému. Tyto virtuální platební terminály jsou připojeny k internetu, aby mohly mít přístup ke třetí straně, která hostuje funkci virtuálního procesování plateb. Tato třetí strana může být procesor, acquirer nebo jiná třetí strana (poskytovatel služeb), která uchovává, zpracovává a/nebo přenáší data držitelů karet k autorizaci a/nebo zpracování transakcí na virtuálním platebním terminálu obchodníka.
Tento typ dotazníku je určen pouze obchodníkům, kteří ručně vkládají jednotlivé transakce prostřednictvím klávesnice do webového virtuálního platebního terminálu. Mohou to být obchodníci působící buď v „kamenných obchodech“ (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).
SAQ C-VT dotazník je určen pro vás, pokud:
Tento SAQ se nevztahuje na e-commerce kanály.
Ke stažení:
PCI DSS SAQ C-VT 3.2.1. CZ
PCI DSS SAQ C-VT 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
SAQ P2PE byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze skrze hardwarové platební terminály zahrnuté ve validovaném a evidovaném PCI P2PE řešením.
SAQ P2PE obchodníci nemají přístup to dat držitelů karet na jakémkoliv počítačovém systému a pouze zadávají čísla karet skrze hardware platební terminál v PCI SSC schváleném řešení. SAQ P2PE obchodníci mohou být jak v „kamenných obchodech“ (karta přítomna) tak přijímající písemné/telefonické objednávky (karta nepřítomna). Např. obchodník přijímající písemné/telefonické objednávky může být způsobilý k SAQ P2PE pokud přijímají data držitelů karet v papírové formě nebo přes telefon a zadají ho přímo a pouze do validovaného P2PE hardware zařízení.
SAQ P2PE potvrzují, že pro tento platební kanál:
Tento SAQ se nevztahuje na e-commerce kanály.
Ke stažení:
PCI DSS SAQ P2PE 3.2.1. CZ
PCI DSS SAQ P2PE 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.
SAQ D pro obchodníky použijí všichni obchodníci způsobilí k vyplnění SAQ, pro které se nehodí kriteria ostatních typů dotazníků SAQ. Příklady obchodníků, kteří by měli použít SAQ D, mohou být následující (výčet neobsahuje všechny příklady obchodníků):
Dotazník SAQ D pro poskytovatele služeb použijí všichni poskytovatelé služeb způsobilí k vyplnění SAQ.
Ke stažení:
PCI DSS SAQ D obchodník 3.2.1. CZ
PCI DSS SAQ D merchant 3.2.1. EN
PCI DSS SAQ D poskytovatel 3.2.1. CZ
PCI DSS SAQ D service provider 3.2.1. EN
Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.