SAQ - Dotazníky pro sebehodnocení

Dotazník pro sebehodnocení  SAQ (Self Assessment Questionaire) je nástroj pro obchodníky a poskytovatele služeb na posouzení a prokázání shody / souladu s PCI DSS. Podle kategorizace může být dostatečným způsobem pro validaci.

Konkrétní verzi a typ dotazníku vždy potvrdí obchodníkovi společnost, které mu zajišťuje akceptace platebních karet a poskytovateli služeb subjekt, kterému jsou poskytovány služby.

SAQ

Pro koho je určen

A

Pro obchodníky s transakcemi bez přítomnosti karty (card-not-present; E-commerce nebo MO/TO obchodníci), kteří zcela vyčlenili všechny aktivity spojené s platebními kartami třetím stranám – certifikovaným PCI DSS poskytovatelům služeb. Obchodníci  elektronicky neukládají, nepřenášejí ani nezpracovávají data držitelů karet ve svých systémech nebo prostorách.

Není určené pro obchodníky s kamennou fyzickou provozovnou (face-to-face).

A-EP

E-commerce obchodníci, kteří vyčlenili veškeré zpracování plateb PCI DSS certifikovaným třetím stranám, a kteří mají webové stránky, které nemají přímý přístup k datům držitelů karet, ale mohou ovlivnit bezpečnost platební transakce. Obchodníci  elektronicky neukládají, nepřenášejí ani nezpracovávají data držitelů karet ve svých systémech nebo prostorách.

Určené pouze pro e-commerce obchodníky.

B

Obchodníci, kteří používají buď imprintery („žehličky“), kteří elektronicky neukládají data držitelů karet nebo samostatné terminály s vytáčeným připojením, kteří neukládají elektronicky data držitelů karet

Není určené pro e-commerce obchodníky.

B-IP

Obchodníci, kteří neukládají elektronicky data držitelů karet a používají jen samostatný platební terminál s platnou PTS certifikací s IP konektivitou na platebního procesora.

Není určené pro e-commerce obchodníky.

C

Obchodníci, kteří neukládají elektronicky data držitelů karet a mají platební aplikací připojenou k internetu a tato aplikace/zařízení není napojena na interní síť obchodníka.

Není určené pro e-commerce obchodníky.

C-VT

Obchodníci, kteří manuálně zadávají každou jednotlivou transakci přes klávesnici do virtuálního platebního terminálu na internetu, který je poskytován a hostován třetí stranou – PCI DSS certifikovaným poskytovatelem služeb. Obchodník neukládá data držitelů karet v elektronické podobě.

Není určené pro e-commerce obchodníky.

P2PE

Obchodníci, kteří používají pouze hardware terminály zahrnuté a řízené prostřednictvím certifikovaného PCI SSC P2PE řešení, které elektronicky neukládá data držitelů karet.

Není určené pro e-commerce obchodníky

Certifikované aplikace P2PE naleznete zde.

D

  • všichni ostatní obchodníci 
  • poskytovatelé služeb

Podrobnější informace k Dotazníkům pro sebehodnocení SAQ a k jejich použití

SAQ A – Obchodníci bez přítomnosti karty, všechny funkce dat držitelů karet zcela outsourcovány

SAQ A byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří mají veškeré funkce týkající se dat držitelů karet dodány od ověřeného dodavatele služeb, kde obchodník drží pouze papírové záznamy a účtenky s daty držitelů karet.

SAQ A obchodníci mohou být buď e-commerce nebo MO/TO obchodníci (karta nepřítomna), kteří neuchovávají, nezpracovávají, nebo nepřenášejí žádná data držitelů karet v elektronické podobě ve svých systémech, úložištích nebo prostorách.

SAQ A je určen pro vás, pokud:

  • Vaše společnost zpracovává pouze transakce bez přítomnosti karty (card-not-present), tj. e-commerce nebo písemné/telefonické objednávky;
  • veškeré přijímání a zpracování plateb je zcela zabezpečeno třetí stranou – poskytovatelem služeb prověřeným z hlediska PCI DSS;
  • Vaše společnost nemá přímou kontrolu nad způsobem, jakým jsou data držitelů karet sbírána, zpracovávána, přenášena nebo uchovávána;
  • Vaše společnost elektronicky neuchovává, nezpracovává nebo nepřenáší žádná data držitelů karet ve svých systémech nebo prostorách, ale bezvýhradně spoléhá na zajištění těchto funkcí třetí stranou;
  • Vaše společnost má potvrzeno, že všechny třetí strany zajišťující přijímání, ukládání, zpracování a/nebo přenos dat držitelů karet, jsou v souladu s PCI DSS;
  • jakákoliv data držitelů karet, která Vaše společnost uchovává jsou v papírové podobě (např. papírové záznamy nebo papírové kopie účtenek) a tyto dokumenty nejsou přijímány elektronicky.

Navíc pro e-commerce kanály:

  • Veškeré stránky s platebními údaji, které zákazníci vidí na svých prohlížečích, pocházejí přímo od PCI DSS prověřeného poskytovatele služeb – třetí strany.

Tento SAQ se nevztahuje na face-to-face kanály.

Ke stažení:
PCI DSS SAQ A 3.2.1. CZ

PCI DSS SAQ A 3.2.1. EN

Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

SAQ A-EP – Částečně outsourcované e-commerce platby, obchodníci využívající pro zpracovávání plateb webové stránky třetí strany

SAQ A-EP byl vypracován tak, aby zohlednil požadavky vztahující se na e-commerce obchodníky s webovými stránkami, které samy o sobě nepřijímají data držitelů karet, ale které ovlivňují bezpečnost platební transakce a/nebo integrity stránky, která přijímá kartová data zákazníka.

SAQ A-EP obchodníci jsou e-commerce obchodníci, kteří částečně outsourcují svůj e-commerce platební kanál na třetí stranu ověřenou podle standardu PCI DSS a kteří elektronicky neuchovávají, nezpracovávají ani nepřenášejí žádná data držitelů karet ve svých systémech nebo prostorách.

SAQ A-EP je určen pro vás, pokud:

  • Vaše společnost přijímá pouze e-commerce transakce;
  • Veškeré zpracovávání (procesing) dat držitelů karet je outsourcováno na třetí stranu (procesora) ověřenou podle standardu PCI DSS;
  • Vaše e-commerce webové stránky nepřijímají data držitelů karet, ale kontrolují, jak jsou zákazníci či jejich kartová data přesměrováni na stránku třetí strany (procesora) ověřeného podle PCI DSS;
  • Vaše e-commerce webové stránky nejsou připojeny k žádným dalším systémům v rámci Vašeho prostředí (toho lze dosáhnout síťovou segmentací pro izolování webových stránek od všech ostatních systémů);
  • Pokud je obchodníkova webová stránka hostovaná třetí stranou, je tato třetí strana (poskytovatel) taktéž ověřena podle všech příslušných požadavků PCI DSS (např. včetně Přílohy A PCI DSS, pokud je poskytovatel zároveň poskytovatel sdíleného hostingu);
  • Každý prvek platební stránky (stránek), který se zobrazí na webovém prohlížeči zákazníka, vychází buď z obchodníkovy webové stránky, nebo od poskytovatele ověřeného podle PCI DSS;
  • Vaše společnost elektronicky neuchovává, nepracovává ani nepřenáší žádná data držitelů karet do svých systémů, ale nechává veškeré tyto funkce na třetí straně (stranách);
  • Vaše společnost má potvrzeno, že všechny třetí strany zajišťující ukládání, zpracování a/nebo přenos dat držitelů karet, jsou v souladu s PCI DSS;
  • jakákoliv data držitelů karet, která Vaše společnost uchovává jsou v papírové podobě (např. papírové záznamy nebo papírové kopie účtenek) a tyto dokumenty nejsou přijímány elektronicky.

Tento SAQ se vztahuje pouze na e-commerce kanály.

Ke stažení:
PCI DSS SAQ A-EP 3.2.1. CZ

PCI DSS SAQ A-EP 3.2.1. EN

Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

SAQ B – Obchodníci s imprintery nebo se samostatnými POS terminály s komunikací po telefonní lince bez elektronického uchovávání dat držitelů karet

SAQ B byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze prostřednictvím imprinterů („žehliček“) nebo samostatných terminálů s telefonním připojením. SAQ B obchodníci mohou být obchodníci působící buď v „kamenných obchodech“ (karta přítomna) nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému.

SAQ B je určen pro vás, pokud:

  • Vaše společnost používá pouze imprintery a/nebo používá pouze samostatné terminály s vytáčením čísla (napojené na telefonní linku k vašemu zpracovateli) k získání informací o platební kartě zákazníka;
  • samostatné terminály s vytáčením čísla nejsou napojeny na žádný jiný systém ve vašem prostředí;
  • samostatné terminály s vytáčením čísla nejsou připojené na internet;
  • Vaše společnost nepřenáší data držitelů karet po síti (ať již interní nebo po internetu);
  • jakákoliv data držitelů karet, která Vaše společnost uchovává jsou v papírové podobě (např. papírové záznamy nebo papírové kopie účtenek) a tyto dokumenty nejsou přijímány elektronicky.
  • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

Tento SAQ se nevztahuje na e-commerce kanály. 

Ke stažení:
PCI DSS SAQ B 3.2.1. CZ

PCI DSS SAQ B 3.2.1. EN

Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

SAQ B-IP – Obchodníci se samostatným PTS POI terminálem připojeným pomocí IP – bez elektronického uchovávání dat držitelů karet

SAQ B-IP byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze přes samostatné terminály schválené jako PTS POI zařízení připojené přes IP Protokol na platebního procesora.

SAQ B-IP obchodníci mohou být obchodníci působící buď v kamenném obchodě (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému.

SAQ B-IP je určen pro vás, pokud:

  • Vaše společnost používá pouze samostatné terminály schválené jako PTS zařízení (vyjma SCR) připojené pomocí IP k poskytovateli platebních služeb ke zpracování kartových dat zákazníků;
  • samostatná POI zařízení připojená pomocí IP jsou validována v rámci programu PTS POI vystaveném na webových stránkách PCI SSC;
  • samostatná POI zařízení připojená pomocí IP nejsou připojená do žádného dalšího systému Obchodníka (toho lze dosáhnout síťovou segmentací pro izolování POI zařízení od zbytku sítě);
  • jediný datový přenos z PTS POI zařízení je směrem k poskytovateli platebních služeb;
  • POI zařízení nepoužívá pro komunikaci s poskytovatelem platebních služeb žádné další zařízení typu počítač, mobilní telefon, tablet, apod.);
  • jakákoliv data držitelů karet, která Vaše společnost uchovává jsou v papírové podobě (např. papírové záznamy nebo papírové kopie účtenek) a tyto dokumenty nejsou přijímány elektronicky;
  • Vaše společnost neuchovává kartová data v elektronickém formátu.

    Tento SAQ se nevztahuje na e-commerce kanály.

    Ke stažení:
    PCI DSS SAQ B-IP 3.2.1. CZ

    PCI DSS SAQ B-IP 3.2.1. EN

    Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

    SAQ C – Obchodníci s platebními aplikacemi napojenými na internet – bez elektronického uchovávání dat držitelů karet.

    Dotazník SAQ C byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, jejichž systémy s platební aplikací (například systémy POS) jsou připojené k internetu (např. přes DSL, kabelový modem apod.).

    SAQ C obchodníci zpracovávají data držitelů karet přes POS (point-of-sale) systém nebo jinou platební aplikaci připojenou k internetu, neuchovávají data držitelů karet v žádném počítačovém systému a mohou to být obchodníci působící buď v „kamenných obchodech“ ( karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).

    SAQ C dotazník je určen pro vás, pokud:

    • Vaše společnost má systém platební Aplikace a připojení k internetu na stejném zařízení a/nebo na stejné místní síti (LAN);
    • systém s platební aplikací/internetové zařízení není připojeno k žádným jiným systémům ve vašem prostředí (toho lze dosáhnout segmentací sítě k izolování systému platebních aplikací/internetových zařízení od ostatních systémů);
    • fyzické umístění POS prostředí není připojeno na jiné prostory nebo místo a jakákoli místní síť je určena pouze pro jedno místo;
    • jakákoliv data držitelů karet, která Vaše společnost uchovává jsou v papírové podobě (např. papírové záznamy nebo papírové kopie účtenek) a tyto dokumenty nejsou přijímány elektronicky;
    • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

    Tento SAQ se nevztahuje na e-commerce kanály.

    Ke stažení:
    PCI DSS SAQ
    C 3.2.1. CZ
    PCI DSS SAQ C 3.2.1. EN

    Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

    SAQ C-VT – Obchodníci s webovými virtuálními platebními terminály napojenými na internet – Bez elektronického uchovávání dat držitelů karet

    SAQ C-VT byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet prostřednictvím samostatných virtuálních platebních terminálů na počítačích připojených k internetu.

    Virtuální platební terminál je založený na webovém prohlížeči s přístupem na stránky acquirera (zpracovatelské banky), procesora nebo třetí strany (poskytovatele služeb) za účelem autorizace karetních transakcí, kdy obchodník manuálně zadává data držitelů karet prostřednictvím zabezpečeného webového prohlížeče. Oproti fyzickým terminálům nenačítají virtuální terminály data přímo z platební karty. Vzhledem k tomu, že se platební transakce zadávají ručně, virtuální terminály se používají namísto fyzických terminálů u obchodníků s nízkými objemy transakcí.

    SAQ C-VT obchodníci zpracovávají data držitelů karet přes virtuální platební terminály a neuchovávají data držitelů karet v žádném počítačovém systému. Tyto virtuální platební terminály jsou připojeny k internetu, aby mohly mít přístup ke třetí straně, která hostuje funkci virtuálního procesování plateb. Tato třetí strana může být procesor, acquirer nebo jiná třetí strana (poskytovatel služeb), která uchovává, zpracovává a/nebo přenáší data držitelů karet k autorizaci a/nebo zpracování transakcí na virtuálním platebním terminálu obchodníka.

    Tento typ dotazníku je určen pouze obchodníkům, kteří ručně vkládají jednotlivé transakce prostřednictvím klávesnice do webového virtuálního platebního terminálu. Mohou to být obchodníci působící buď v „kamenných obchodech“ (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).

    SAQ C-VT dotazník je určen pro vás, pokud:

    • Vaše společnost zpracovává platby pouze prostřednictvím virtuálního platebního terminálu s přístupem přes internetový prohlížeč;
    • Vaše společnost má virtuální platební terminál poskytovaný a hostovaný třetí stranou – poskytovatelem služeb prověřeným z hlediska PCI DSS;
    • Vaše společnost má přístup k virtuálnímu platebnímu terminálu, který je v souladu s PCI DSS, přes počítač, který je izolován na jednom místě a není připojený k jiným místům či systémům ve vašem prostředí (toho lze dosáhnout před firewall nebo segmentací sítě k izolování počítače od ostatních systémů);
    • počítač Vaší společnosti nemá ve svém systému instalovaný žádný software, který by ukládal data držitelů karet (například software pro hromadné zpracování nebo uložení a přeposílání);
    • počítač Vaší společnosti nemá připojená žádná hardwarová zařízení, která slouží k zachycení či ukládání dat držitelů karet (například zde nejsou připojeny čtečky karet);
    • Vaše společnost elektronicky nepřijímá ani nepřenáší data držitelů karet žádným jiným způsobem prostřednictvím žádných kanálů (například prostřednictvím vnitřní sítě nebo internetu);
    • jakákoliv data držitelů karet, která Vaše společnost uchovává jsou v papírové podobě (např. papírové záznamy nebo papírové kopie účtenek) a tyto dokumenty nejsou přijímány elektronicky;
    • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

    Tento SAQ se nevztahuje na e-commerce kanály.

    Ke stažení:
    PCI DSS SAQ C-VT 3.2.1. CZ

    PCI DSS SAQ C-VT 3.2.1. EN

    Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

    SAQ P2PE – Pouze obchodníci používající hardwarové platební terminály v PCI SSC schváleném P2PE řešení, kteří neukládají data držitelů karet

    SAQ P2PE byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze skrze hardwarové platební terminály zahrnuté ve validovaném a evidovaném PCI P2PE řešením.

    SAQ P2PE obchodníci nemají přístup to dat držitelů karet na jakémkoliv počítačovém systému a pouze zadávají čísla karet skrze hardware platební terminál v PCI SSC schváleném řešení. SAQ P2PE obchodníci mohou být jak  v „kamenných obchodech“ (karta přítomna) tak přijímající písemné/telefonické objednávky (karta nepřítomna). Např. obchodník přijímající písemné/telefonické objednávky může být způsobilý k SAQ P2PE pokud přijímají data držitelů karet v papírové formě nebo přes telefon a zadají ho přímo a pouze do validovaného P2PE hardware zařízení.

    SAQ P2PE potvrzují, že pro tento platební kanál:

    • Veškeré zpracování plateb je validován skrze PCI P2PE řešení schváleným a evidovaným PCI SSC.
    • Jediná zařízení v obchodníkově prostředí, které uchovávají, zpracovávají nebo přenáší data účtů jsou POI zařízení, která jsou schválená pro použití s validovaným a evidovaným PCI P2PE řešením.
    • Obchodník jinak nepřijímá nebo nepřenáší data držitelů karet.
    • Obchodník potvrzuje, že nemá žádná zastaralá úložiště (legacy storage) dat držitelů karet ve svém prostředí.
    • Obchodník uchovává pouze papírové záznamy nebo účtenky s jakýmikoliv daty držitelů karet a tyto dokumenty nejsou přijímány elektronicky.
    • Obchodník implementoval všechny kontroly řízení z P2PE instrukčního manuálu (PIM) poskytnutého poskytovatelem P2PE řešení.

    Tento SAQ se nevztahuje na e-commerce kanály.

    Ke stažení:
    PCI DSS SAQ P2PE 3.2.1. CZ

    PCI DSS SAQ P2PE 3.2.1. EN

    Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.

    SAQ D – Všichni ostatní obchodníci způsobilí k SAQ

    SAQ D pro obchodníky použijí všichni obchodníci způsobilí k vyplnění SAQ, pro které se nehodí kriteria ostatních typů dotazníků SAQ. Příklady obchodníků, kteří by měli použít SAQ D, mohou být následující (výčet neobsahuje všechny příklady obchodníků):

    • E-commerce obchodníci, kteří přijímají data držitelů karet na svých webových stránkách;
    • obchodníci s elektronickým úložištěm dat držitelů karet;
    • obchodníci, kteří neuchovávají data držitelů karet, ale nesplňují kritéria pro jiný typ dotazníku;
    • obchodníci, kteří mohou splňovat kritéria pro jiný typ dotazníku, ale na jejichž prostředí lze aplikovat i další požadavky PCI DSS.
    SAQ D – Poskytovatelé služeb způsobilí k SAQ

    Dotazník SAQ D pro poskytovatele služeb použijí všichni poskytovatelé služeb způsobilí k vyplnění SAQ.

     

    Ke stažení:
    PCI DSS SAQ D obchodník 3.2.1. CZ

    PCI DSS SAQ D merchant 3.2.1. EN
    PCI DSS SAQ D poskytovatel 3.2.1. CZ
    PCI DSS SAQ D service provider 3.2.1. EN

    Upozorňujeme, že SAQ CZ verze mají pouze informativní charakter. Pro oficiální validaci je třeba použít originální EN znění.