PCI Security Standards Council

Informace k dotazníkům

Dotazník vlastního hodnocení (Self-Assessment Questionnaire - SAQ)

Dotazník vlastního hodnocení (SAQ - Self-Assessment Questionnaire) je nástroj, jehož smyslem je pomáhat obchodníkům a poskytovatelům služeb v sebehodnocení souladu s pravidly PCI DSS.

Obchodník odešle dotazník po jeho vyplnění své zpracovatelské bance (acquirerovi), která je tento dotazník povinna předložit na vyžádání kartové společnosti (Visa, MasterCard,...).

Jako navigace k určení odpovídajícího typu SAQ Vám může posloužit následující tabulka s komentářem:

 

SAQ

Popis

A

E-commerce nebo MO/TO obchodníci (karta nepřítomna), kteří neuchovávají, nezpracovávají, nebo nepřenášejí žádná data držitelů karet v elektronické podobě ve svých systémech nebo úložištích.

A-EP

Vaše e-commerce webové stránky nepřijímají data držitelů karet, ale kontrolují, jak jsou zákazníci či jejich kartová data přesměrováni na stránku třetí strany (procesora) ověřeného podle PCI DSS;

B

Obchodníci, kteří zpracovávají data držitelů karet pouze prostřednictvím imprinterů („žehliček“) nebo samostatných terminálů s telefonním připojením. SAQ B obchodníci mohou být obchodníci působící buď v „kamenných obchodech“ (karta přítomna) nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému

B-IP

SAQ B-IP obchodníci mohou být obchodníci působící buď v kamenném obchodě (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému

  • Samostatná POI zařízení připojená IP protokolem jsou validována v rámci programu PTS POI vystaveném na webových stránkách PCI SSC;
  • Samostatná POI zařízení připojená pomocí IP protokolu nejsou připojená do žádného dalšího systému Obchodníka (toho lze dosáhnout síťovou segmentací pro izolování POI zařízení od zbytku sítě);
  • Jediný datový přenos z PTS POI zařízení je směrem k poskytovateli platebních služeb;
  • POI zařízení nepoužívá pro komunikaci s poskytovatelem platebních služeb žádné další zařízení typu počítač, mobilní telefon, tablet, apod.);

C

Obchodníci, jejichž systémy s platební aplikací (například systémy POS) jsou připojené k internetu (např. přes DSL, kabelový modem apod.).SAQ C obchodníci zpracovávají data držitelů karet přes POS (point-of-sale) systém  nebo jinou platební aplikaci připojenou k internetu, neuchovávají data držitelů karet v žádném počítačovém systému a mohou to být obchodníci působící buď v „kamenných obchodech“ ( karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).

Vaše společnost má systém platební Aplikace a připojení k internetu na stejném zařízení a/nebo na stejné místní síti (LAN);

  • Systém s platební aplikací/internetové zařízení není připojeno k žádným jiným systémům ve vašem prostředí (toho lze dosáhnout segmentací sítě k izolování systému platebních aplikací/internetových zařízení od ostatních systémů);
  • Fyzické úložiště POS prostředí není napojeno na jiné prostory nebo úložiště a jakákoli místní Síť je určena pouze pro jedno úložiště;
  • Vaše společnost uchovává pouze papírové záznamy nebo papírové kopie účtenek a tyto dokumenty nejsou přijímány elektronicky, a;
  • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

C-VT

Obchodníci, kteří zpracovávají data držitelů karet prostřednictvím samostatných virtuálních platebních terminálů na počítačích připojených k internetu. Obchodníci ručně vkládají jednotlivé transakce prostřednictvím klávesnice do webového virtuálního platebního terminálu. Mohou to být obchodníci působící buď v „kamenných obchodech“ (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).

D

Obchodníci, kteří mohou splňovat kritéria pro jiný typ dotazníku, ale na jejichž prostředí lze aplikovat i další požadavky PCI DSS.

  • E-commerce obchodníci, kteří přijímají data držitelů karet na svých webových stránkách;
  • Obchodníci s elektronickým úložištěm dat držitelů karet;
  • Obchodníci, kteří neuchovávají data držitelů karet, ale nesplňují kritéria pro jiný typ dotazníku;
  • Obchodníci, kteří mohou splňovat kritéria pro jiný typ dotazníku, ale na jejichž prostředí lze aplikovat i další požadavky PCI DSS

D - poskytovatel

poskytovatelé služeb způsobilí k vyplnění SAQ

Dotazník SAQ A – Obchodníci s nepřítomnou kartou, všechny funkce dat držitelů karet outsourcována

Dotazník SAQ A byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří mají veškeré funkce týkající se dat držitelů karet dodány od ověřeného dodavatele služeb, kde Obchodník drží pouze papírové záznamy a účtenky s daty držitelů karet.

SAQ A obchodníci mohou být buď e-commerce nebo MO/TO obchodníci (karta nepřítomna), kteří neuchovávají, nezpracovávají, nebo nepřenášejí žádná data držitelů karet v elektronické podobě ve svých systémech nebo úložištích.

SAQ A je určen pro vás, pokud:

  • Vaše společnost zpracovává pouze transakce bez přítomnosti karty (card-not-present), tj. e-commerce nebo písemné/telefonní objednávky;
  • Je veškeré přijímání a zpracování plateb zcela zabezpečeno třetí stranou – poskytovatelem služeb prověřeným z hlediska PCI DSS;
  • Vaše společnost nemá přímou kontrolu nad způsobem, jakým jsou data držitelů karet sbírána, zpracovávána, přenášena nebo uchovávána;
  • Vaše společnost elektronicky neuchovává, nezpracovává nebo nepřenáší žádná data držitelů karet do svých systémů nebo úložišť, ale bezvýhradně spoléhá na zajištění těchto funkcí třetí stranou;
  • Vaše společnost má potvrzeno, že všechny třetí strany zajišťující přijímání, ukládání, zpracování a/nebo přenos dat držitelů karet, jsou v souladu s PCI DSS; a
  • Vaše společnost uchovává pouze papírové záznamy a účtenky s daty držitelů karet a tyto dokumenty nejsou přijímány elektronicky.
  • Navíc pro e-commerce kanály:
  • Veškeré stránky s platebními údaji, které zákazníci vidí na svých prohlížečích, pocházejí přímo od PCI DSS prověřeného poskytovatele služeb – třetí strany.

Tento SAQ se nevztahuje na face-to-face kanály.

Dotazník SAQ A-EP – Částečně outsorcovaní e-commerce obchodníci využívající pro zpracovávání plateb webové stránky třetí strany

SAQ A-EP byl vypracován tak, aby zohlednil požadavky vztahující se na e-commerce obchodníky s webovými stránkami, které samy o sobě nepřijímají data držitelů karet, ale které ovlivňují bezpečnost platební transakce a/nebo integrity stránky, která přijímá kartová data zákazníka.

SAQ A-EP obchodníci jsou e-commerce obchodníci, kteří částečně outsourcují svůj e-commerce platební kanál na třetí stranu ověřenou podle standardu PCI DSS a kteří elektronicky neuchovávají, nezpracovávají ani nepřenášejí žádná data držitelů karet do svých systémů nebo prostor.

SAQ A-EP je určen pro vás, pokud:

  • Vaše společnost přijímá pouze e-commerce transakce;
  • Veškeré zpracovávání (procesing) dat držitelů karet je outsourcováno na třetí stranu (procesora) ověřenou podle standardu PCI DSS;
  • Vaše e-commerce webové stránky nepřijímají data držitelů karet, ale kontrolují, jak jsou zákazníci či jejich kartová data přesměrováni na stránku třetí strany (procesora) ověřeného podle PCI DSS;
  • Vaše e-commerce webové stránky nejsou připojeny k žádným dalším systémům v rámci Vašeho prostředí (toho lze dosáhnout síťovou segmentací pro izolování webových stránek od všech ostatních systémů);
  • Pokud je obchodníkova webová stránka hostovaná třetí stranou, je tato třetí strana (poskytovatel) taktéž ověřena podle všech příslušných požadavků PCI DSS (např. včetně Přílohy A PCI DSS, pokud je poskytovatel zároveň poskytovatel sdíleného hostingu);
  • Všechny prvky platebních stránek, které se zobrazí na webovém prohlížeči zákazníka, vycházejí buď z obchodníkovy webové stránky, nebo od poskytovatele ověřeného podle PCI DSS;
  • Vaše společnost elektronicky neuchovává, nepracovává ani nepřenáší žádná data držitelů karet do svých systémů, ale nechává veškeré tyto funkce na třetí straně (stranách);
  • Vaše společnost potvrzuje, že veškeré třetí stany, které mají na starosti uchovávání, zpracovávání a/nebo přenos dat držitelů karet, jsou ověřeny podle PCI DSS; a
  • Vaše společnost uchovává pouze papírové záznamy nebo papírové kopie účtenek s daty držitelů karet a tyto dokumenty nejsou přijímány elektronicky.

Tento SAQ se vztahuje pouze na e-commerce kanály.

Dotazník SAQ B –Obchodníci s imprintery nebo samostatnými terminály s komunikací po telefonní lince bez elektronického uchovávání dat držitelů karet

Dotazník SAQ B byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze prostřednictvím imprinterů („žehliček“) nebo samostatných terminálů s telefonním připojením. SAQ B obchodníci mohou být obchodníci působící buď v „kamenných obchodech“ (karta přítomna) nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému.

SAQ B je určen pro vás, pokud:

  • Vaše společnost používá pouze imprintery a/nebo používá pouze samostatné terminály s vytáčením čísla (napojené na telefonní linku k vašemu zpracovateli) k získání informací o platební kartě zákazníka;
  • Samostatné terminály s vytáčením čísla nejsou napojeny na žádný jiný systém ve vašem prostředí;
  • Samostatné terminály s vytáčením čísla nejsou připojené na Internet;
  • Společnost nepřenáší data držitelů karet po síti (ať již interní nebo po internetu);
  • Vaše společnost uchovává pouze papírové záznamy nebo papírové kopie účtenek s daty držitelů karet a tyto dokumenty nejsou přijímány elektronicky; a
  • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

Tento SAQ se nevztahuje na e-commerce kanály.

Dotazník SAQ B-IP – Obchodníci se samostatným PTS POI terminálem připojeným IP protokolem – bez elektronického uchovávání dat držitelů karet

SAQ B-IP byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet pouze přes samostatné terminály schválené jako PTS POI zařízení připojené přes IP Protokol na platebního procesora.

SAQ B-IP obchodníci mohou být obchodníci působící buď v kamenném obchodě (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna), kteří neuchovávají data držitelů karet v počítačovém systému.

SAQ B-IP je určen pro vás, pokud:

  • Vaše společnost používá pouze samostatné terminály schválené jako PTS zařízení (vyjma SCR) připojené pomocí IP protokolu k poskytovateli platebních služeb ke zpracování kartových dat zákazníků;
  • Samostatná POI zařízení připojená IP protokolem jsou validována v rámci programu PTS POI vystaveném na webových stránkách PCI SSC;
  • Samostatná POI zařízení připojená pomocí IP protokolu nejsou připojená do žádného dalšího systému Obchodníka (toho lze dosáhnout síťovou segmentací pro izolování POI zařízení od zbytku sítě);
  • Jediný datový přenos z PTS POI zařízení je směrem k poskytovateli platebních služeb;
  • POI zařízení nepoužívá pro komunikaci s poskytovatelem platebních služeb žádné další zařízení typu počítač, mobilní telefon, tablet, apod.);
  • Vaše společnost uchovává pouze papírové záznamy nebo papírové kopie účtenek s daty držitelů karet a tyto dokumenty nejsou přijímány elektronicky; a
  • Vaše společnost neuchovává kartová data v elektronickém formátu.

Tento SAQ se nevztahuje na e-commerce kanály.

Dotazník SAQ C – Obchodníci s platebními aplikacemi napojenými na Internet, bez elektronického uchovávání dat držitelů karet.

Dotazník SAQ C byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, jejichž systémy s platební aplikací (například systémy POS) jsou připojené k internetu (např. přes DSL, kabelový modem apod.).

SAQ C obchodníci zpracovávají data držitelů karet přes POS (point-of-sale) systém nebo jinou platební aplikaci připojenou k internetu, neuchovávají data držitelů karet v žádném počítačovém systému a mohou to být obchodníci působící buď v „kamenných obchodech“ ( karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).

SAQ C dotazník je určen pro vás, pokud:

  • Vaše společnost má systém platební Aplikace a připojení k internetu na stejném zařízení a/nebo na stejné místní síti (LAN);
  • Systém s platební aplikací/internetové zařízení není připojeno k žádným jiným systémům ve vašem prostředí (toho lze dosáhnout segmentací sítě k izolování systému platebních aplikací/internetových zařízení od ostatních systémů);
  • Fyzické úložiště POS prostředí není napojeno na jiné prostory nebo úložiště a jakákoli místní Síť je určena pouze pro jedno úložiště;
  • Vaše společnost uchovává pouze papírové záznamy nebo papírové kopie účtenek a tyto dokumenty nejsou přijímány elektronicky, a;
  • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

Tento SAQ se nevztahuje na e-commerce kanály

Dotazník SAQ C-VT – Obchodníci s webovými virtuálními platebními terminály napojenými na Internet— Bez elektronického uchovávání dat držitelů karet

Dotazník SAQ C-VT byl vypracován tak, aby zohlednil požadavky vztahující se na obchodníky, kteří zpracovávají data držitelů karet prostřednictvím samostatných virtuálních platebních terminálů na počítačích připojených k internetu.

Virtuální platební Terminál je založený na webovém prohlížeči s přístupem na stránky acquirera (zpracovatelské banky), procesora nebo třetí strany (poskytovatele služeb) za účelem Autorizace karetních transakcí, kdy Obchodník manuálně zadává data držitelů karet prostřednictvím zabezpečeného webového prohlížeče. Oproti fyzickým terminálům nenačítají virtuální terminály data přímo z Platební karty. Vzhledem k tomu, že se platební transakce zadávají ručně, virtuální terminály se používají namísto fyzických terminálů u obchodníků s nízkými objemy transakcí.

SAQ C-VT obchodníci zpracovávají data držitelů karet přes virtuální platební terminály a neuchovávají data držitelů karet v žádném počítačovém systému. Tyto virtuální platební terminály jsou připojeny k internetu, aby mohly mít přístup ke třetí straně, která hostuje funkci virtuálního procesování plateb. Tato třetí strana může být procesor, Acquirer nebo jiná třetí strana (poskytovatel služeb), která uchovává, zpracovává a/nebo přenáší data držitelů karet k autorizaci a/nebo zpracování transakcí na virtuálním platebním terminálu obchodníka.

Tento typ dotazníku je určen pouze obchodníkům, kteří ručně vkládají jednotlivé transakce prostřednictvím klávesnice do webového virtuálního platebního terminálu. Mohou to být obchodníci působící buď v „kamenných obchodech“ (karta přítomna), nebo přijímající písemné/telefonické objednávky (karta nepřítomna).

SAQ C-VT dotazník je určen pro vás, pokud:

  • Vaše společnost zpracovává platby pouze prostřednictvím virtuálního platebního terminálu s přístupem na internetový prohlížeč;
  • Vaše společnost má virtuální platební Terminál poskytovaný a hostovaný třetí stranou – poskytovatelem služeb prověřeným z hlediska PCI DSS;
  • Vaše společnost má přístup k virtuálnímu platebnímu terminálu, který je v souladu s PCI DSS, přes počítač, který je izolován na jednom místě a není připojený k jiným místům či systémům ve vašem prostředí (toho lze dosáhnout před Firewall nebo segmentací sítě k izolování počítače od ostatních systémů);
  • Počítač Vaší společnosti nemá ve svém systému instalovaný žádný software, který by ukládal data držitelů karet (například software pro hromadné zpracování nebo uložení a přeposílání);
  • Počítač Vaší společnosti nemá připojená žádná hardwarová zařízení, která slouží k zachycení či ukládání dat držitelů karet (například zde nejsou připojeny čtečky karet);
  • Vaše společnost elektronicky nepřijímá ani nepřenáší data držitelů karet žádným jiným způsobem prostřednictvím žádných kanálů (například prostřednictvím vnitřní sítě nebo internetu);
  • Vaše společnost uchovává pouze papírové záznamy nebo papírové kopie účtenek a tyto dokumenty nejsou přijímány elektronicky, a
  • Vaše společnost neuchovává data držitelů karet v elektronickém formátu.

Tento SAQ se nevztahuje na e-commerce kanály

Dotazník SAQ D – Všichni ostatní obchodníci způsobilí k SAQ

Dotazník SAQ D pro obchodníky použijí všichni obchodníci způsobilí k vyplnění SAQ, pro které se nehodí kriteria ostatních typů dotazníků SAQ. Příklady obchodníků, kteří by měli použít SAQ D, mohou být následující (výčet neobsahuje všechny příklady obchodníků):

  • E-commerce obchodníci, kteří přijímají data držitelů karet na svých webových stránkách;
  • Obchodníci s elektronickým úložištěm dat držitelů karet;
  • Obchodníci, kteří neuchovávají data držitelů karet, ale nesplňují kritéria pro jiný typ dotazníku;
  • Obchodníci, kteří mohou splňovat kritéria pro jiný typ dotazníku, ale na jejichž prostředí lze aplikovat i další požadavky PCI DSS.

Dotazník SAQ D – Poskytovatelé služeb způsobilí k SAQ

Dotazník SAQ D pro poskytovatele služeb použijí všichni poskytovatelé služeb způsobilí k vyplnění SAQ.