Il PCI DSS self assessment è lo strumento di validazione della conformità più usato dai merchant di Livello 3 e 4. Il questionario di auto-valutazione (SAQ) esiste in diverse varianti, ciascuna pensata per un tipo di architettura di pagamento specifico. Scegliere il SAQ sbagliato o compilare quello più oneroso quando non è necessario sono errori comuni che aumentano il costo e la complessità della compliance senza alcun beneficio. Capire quale SAQ si applica alla propria situazione è il primo passo per una compliance efficiente.
Cos'è il self assessment PCI DSS e quando si usa
Il SAQ (Self-Assessment Questionnaire) è un documento di auto-valutazione pubblicato dal PCI Security Standards Council che i merchant possono compilare senza l'intervento di un QSA certificato. È disponibile per i merchant di Livello 3 e 4 e, in certi casi, per i merchant di Livello 2 che ne fanno richiesta al proprio circuito. Il processo di self assessment include la compilazione del questionario e, per alcuni tipi di SAQ, l'esecuzione di vulnerability scanning trimestrale da parte di un ASV (Approved Scanning Vendor) approvato dal PCI SSC.
Il self assessment non sostituisce un audit formale in tutti i contesti. I merchant di Livello 1, quelli con i volumi di transazioni più alti, devono sempre sottoporsi a un audit condotto da un QSA e produrre un ROC (Report on Compliance). Per i merchant di Livello 2, il requisito dipende dal circuito: Visa Europa, ad esempio, richiede un ROC per tutti i merchant di Livello 2, mentre altri circuiti accettano il SAQ. Prima di procedere con il self assessment, è necessario verificare con l'acquirer quale metodo di validazione è accettato per il proprio livello.
Quale SAQ devi compilare: la tabella di riferimento
Il SAQ da compilare dipende interamente dall'architettura di accettazione dei pagamenti. Il SAQ A è il più semplice, con meno di 50 controlli: si applica ai merchant ecommerce che usano esclusivamente pagamenti ospitati da terze parti (hosted payment page o iframe) e ai merchant che accettano carte solo tramite terminali certificati forniti da terzi, senza accesso ai dati carta. Il SAQ A-EP, con circa 190 controlli, si applica ai merchant ecommerce che usano JavaScript di terze parti per raccogliere dati carta direttamente nel browser del cliente. Il SAQ B si applica ai merchant con terminali POS non connessi a internet o via telefono. Il SAQ B-IP è per terminali IP connessi a internet ma senza memorizzazione dei dati carta.
Il SAQ C riguarda merchant con sistemi di cassa connessi a internet. Il SAQ C-VT è per merchant che inseriscono manualmente i dati carta in un terminale virtuale ospitato da un provider. Il SAQ D è il più complesso, con oltre 200 controlli, e si applica a tutti i merchant che non rientrano nelle categorie precedenti, inclusi quelli che memorizzano dati carta nei propri sistemi o che usano API per trasmettere i dati carta ai gateway. Il SAQ P2PE si applica ai merchant che usano soluzioni di cifratura punto-a-punto certificate dal PCI SSC: è molto semplice, con circa 35 controlli, perché la protezione è gestita interamente dal provider della soluzione P2PE.
Come ridurre il SAQ con la tokenizzazione
Il percorso più comune e diretto per passare dal SAQ D al SAQ A è la tokenizzazione con hosted payment page. Un merchant che oggi usa una propria pagina di checkout con raccolta diretta dei dati carta via API (SAQ D) può migrare a un checkout ospitato dal provider di tokenizzazione. In questo scenario, l'utente inserisce i dati carta su una pagina gestita dal provider certificato, il provider restituisce un token al merchant, e il merchant non vede mai il PAN. La transizione riduce il perimetro del merchant da un CDE completo a nessun CDE, qualificando il merchant per il SAQ A.
Il risparmio operativo di questa migrazione è significativo. Un merchant SAQ D deve eseguire vulnerability scanning trimestrale dei propri server, penetration test annuale, gestire le policy di controllo accessi per il CDE, formare il personale su tutti i requisiti PCI DSS applicabili e documentare decine di controlli. Con il SAQ A, la maggior parte di questi obblighi scompare perché il perimetro del merchant non include sistemi che toccano dati carta. Il costo annuo della compliance per un merchant SAQ A è stimabile in meno del 20% del costo equivalente per un merchant SAQ D con lo stesso volume di transazioni.
Domande frequenti
Il self assessment sostituisce un audit formale?
Per i merchant di Livello 3 e 4, sì: il SAQ è lo strumento di validazione accettato dagli acquirer. Per i merchant di Livello 1 e per molti di Livello 2, è necessario un audit formale condotto da un QSA con produzione di un ROC. Se hai dubbi sul tuo livello o su quale metodo di validazione sia accettato dal tuo acquirer, verifica direttamente con lui prima di procedere con il self assessment.
Posso compilare il SAQ da solo o serve un QSA?
Il SAQ può essere compilato autonomamente dal merchant senza l'intervento di un QSA. Il PCI SSC fornisce i modelli gratuitamente sul proprio sito, con istruzioni dettagliate per la compilazione. Per architetture complesse o in caso di dubbi sulla classificazione del SAQ corretto, un consulente o il supporto del provider di servizi di pagamento può ridurre il rischio di errori. Un SAQ compilato in modo errato può essere invalidato dall'acquirer in fase di revisione.
Quante volte all'anno devo compilare il SAQ?
Il SAQ va compilato una volta all'anno. Alcuni acquirer richiedono la presentazione del SAQ aggiornato in occasione del rinnovo del contratto di acquiring o su base annuale fissa. Per alcuni tipi di SAQ (come il SAQ A-EP e il SAQ D), è richiesto anche vulnerability scanning trimestrale da parte di un ASV accreditato. Verifica con il tuo acquirer la frequenza e le modalità di presentazione richieste per il tuo contratto.
Dal SAQ D al SAQ A con la tokenizzazione: il percorso più veloce per semplificare il self assessment PCI DSS annuale. Scopri PCI Proxy EU.