Cómo elegir el SAQ adecuado para tu negocio

SAQ PCI DSS

Como ya te comentábamos en nuestro anterior artículo donde te contábamos qué es la normativa PCI DSS y la importancia para tu negocio, existe la posibilidad de realizar un cuestionario de autoevaluación conocido como SAQ (Self-Assessment Questionnaire) para demostrar que se cumple con la normativa establecida.

Para poder acceder a la autoevaluación correcta, como ya te contamos, es necesario cumplir una serie de requisitos, que dependerán de las características de cada organización y el volumen de las transacciones realizadas en un lapso de 12 meses. 

En el siguiente artículo te detallaremos punto por punto los requisitos establecidos y qué cumplimiento debes llevar a cabo dependiendo del nivel en el que se encuentre tu negocio y así poder aplicar la normativa PCI DSS sin problemas.

1. Primer paso: Selección del nivel de cumplimiento

La siguiente división se refiere a que dependiendo del nivel en el que se encuentre tu negocio, tendrás que cumplir unos requisitos u otros para poder acceder a la autoevaluación SAQ. 

Cumplimiento de nivel 1

Requisito: Se aplican a todas aquellas empresas que hayan procesado más de 6 millones de transacciones de Visa o Mastercard, o más de 2,5 millones de American Express. También se incluyen aquellas que, independientemente de sus transacciones, hayan tenido algún tipo de filtración de datos.

Cumplimiento: Si tu negocio se encuentra en este nivel, se deberá de llevar a cabo una evaluación in situ, realizada por un asesor de seguridad cualificado (Qualified Security Assesors – QSA) o por un auditor interno reconocido por la empresa, y, además, diversos controles trimestrales que demuestren la seguridad del sistema. 

Pero además, este nivel obliga a generar a la empresa de forma anual un informe ROC (Report on Compliance), o también conocido como “informe sobre el cumplimiento”, para demostrar de forma muy detallada y aportando evidencias de que se está aplicando la normativa de seguridad.

Cumplimiento de nivel 2

Requisito: En este nivel se encuentran aquellas organizaciones que procesan entre 1 y 6 millones de transacciones anuales.

Cumplimiento: Si tu negocio se encuentra en este nivel o en los siguientes, puedes acceder directamente a los distintos tipos de SAQ (Cuestionarios de autoevaluación), que indicamos más abajo, para realizar el control anual obligatorio. Además, como en el nivel anterior, también se deberán realizar controles trimestrales para mantener la seguridad del sistema y evitar posibles filtraciones.

Cumplimiento de nivel 3

Requisito: Aquí se encuentran todas aquellas organizaciones que procesan entre 20.000 y 1 millón de transacciones online anuales y aquellas que procesan menos de 1 millón de transacciones en total, es decir, por cualquier canal.

Cumplimiento de nivel 4

Requisito: Y, por último, en este nivel se encuentran aquellos negocios que procesan menos de 20.000 transacciones online y también aquellas que realizan hasta 1 millón de transacciones en total, independientemente del canal.

2. Segundo paso: Selección del SAQ

Como te contábamos anteriormente, dependiendo del nivel donde se encuentre tu organización, podrás acceder a un tipo de cuestionario u otro. Éstos se dividen en 5 categorías que dependerá, en mayor medida, de cómo se llevan a cabo los cobros en tu negocio:

SAQ – A

Aquellos comercios que operen sin presencia de tarjetas (comercio electrónico, pedidos online o telefónicos) y que operen con terceros para que manejen todos los datos de los titulares de las tarjetas. No se aplica a comerciantes cara a cara.

SAQ – B

Comerciantes que usan máquinas impresoras o sistemas de terminales independientes con discado externo, es decir, discos de almacenamiento externos, y que no almacenan de forma electrónica ningún dato de titulares de tarjetas. En este y en los siguientes casos se incluyen aquellos que operen o no con tarjeta de forma presente.

SAQ – C-VT

Aquellos comercios que, además de usar terminales independientes con discado externo y que no almacenan datos de titulares, introducen los importes de forma manual a través de un teclado conectado a un TPV.

SAQ – C

En este caso se utilizará este sistema de autoevaluación por aquellos comercios con sistemas conectados a internet pero que no almacenan electrónicamente datos de los titulares de las tarjetas.

SAQ – D

Por último, este cuestionario deben completarlo todos los comerciantes que no se incluyan en los anteriores y todos los proveedores de servicios a los que las marcas de pago les solicite cumplimentar el cuestionario de autoevaluación.

Como vemos, los controles para proteger los sistemas de pagos son cada vez más exigentes y se van actualizando constantemente para adaptarse a las necesidades del ecosistema de pagos. En UniversalPay encontrarás el servicio adaptado tanto a las exigencias de la normativa vigente como a las necesidades de tu negocio.

¿Te ha gustado esta entrada? ¡No dudes en compartirlo!