A autoavaliação PCI DSS é o instrumento de validação da conformidade mais utilizado pelos comerciantes de Nível 3 e 4. O questionário de autoavaliação (SAQ) existe em várias variantes, cada uma concebida para um tipo específico de arquitetura de pagamento. Escolher o SAQ errado ou preencher o mais oneroso quando tal não é necessário são erros habituais que aumentam o custo e a complexidade da conformidade sem qualquer benefício. Compreender qual o SAQ aplicável à sua situação é o primeiro passo para uma conformidade eficiente.
O que é a autoavaliação PCI DSS e quando se utiliza
O SAQ (Self-Assessment Questionnaire) é um documento de autoavaliação publicado pelo PCI Security Standards Council que os comerciantes podem preencher sem a intervenção de um QSA certificado. Está disponível para os comerciantes de Nível 3 e 4 e, em certos casos, para os de Nível 2 que o solicitem ao seu circuito. O processo de autoavaliação inclui o preenchimento do questionário e, para alguns tipos de SAQ, a realização de análises de vulnerabilidades trimestrais por parte de um ASV (Approved Scanning Vendor) aprovado pelo PCI SSC.
A autoavaliação não substitui uma auditoria formal em todos os contextos. Os comerciantes de Nível 1, que têm os volumes de transações mais elevados, devem sempre submeter-se a uma auditoria realizada por um QSA e produzir um ROC (Report on Compliance). Para os comerciantes de Nível 2, o requisito depende do circuito: a Visa Europa, por exemplo, exige um ROC para todos os comerciantes de Nível 2, enquanto outros circuitos aceitam o SAQ. Antes de proceder com a autoavaliação, é necessário verificar com o adquirente qual o método de validação aceite para o seu nível.
Qual SAQ deve preencher: a tabela de referência
O SAQ a preencher depende inteiramente da arquitetura de aceitação de pagamentos. O SAQ A é o mais simples, com menos de 50 controlos: aplica-se aos comerciantes de e-commerce que utilizam exclusivamente pagamentos alojados por terceiros (página de pagamento alojada ou iframe) e aos comerciantes que aceitam cartões apenas através de terminais certificados fornecidos por terceiros, sem acesso aos dados de cartão. O SAQ A-EP, com aproximadamente 190 controlos, aplica-se aos comerciantes de e-commerce que utilizam JavaScript de terceiros para recolher dados de cartão diretamente no navegador do cliente. O SAQ B aplica-se aos comerciantes com terminais POS não ligados à internet ou por telefone. O SAQ B-IP destina-se a terminais IP ligados à internet mas sem armazenamento de dados de cartão.
O SAQ C refere-se a comerciantes com sistemas de caixa ligados à internet. O SAQ C-VT destina-se a comerciantes que introduzem manualmente os dados de cartão num terminal virtual alojado por um fornecedor. O SAQ D é o mais complexo, com mais de 200 controlos, e aplica-se a todos os comerciantes que não se enquadram nas categorias anteriores, incluindo os que armazenam dados de cartão nos seus próprios sistemas ou que utilizam API para transmitir dados de cartão às gateways. O SAQ P2PE aplica-se aos comerciantes que utilizam soluções de encriptação ponto a ponto certificadas pelo PCI SSC: é muito simples, com aproximadamente 35 controlos, porque a proteção é gerida integralmente pelo fornecedor da solução P2PE.
Como reduzir o SAQ com a tokenização
O caminho mais comum e direto para passar do SAQ D para o SAQ A é a tokenização com página de pagamento alojada. Um comerciante que hoje utiliza a sua própria página de checkout com recolha direta de dados de cartão via API (SAQ D) pode migrar para um checkout alojado pelo fornecedor de tokenização. Neste cenário, o utilizador introduz os dados de cartão numa página gerida pelo fornecedor certificado, que devolve um token ao comerciante, e o comerciante nunca vê o PAN. A transição reduz o perímetro do comerciante de um CDE completo para nenhum CDE, qualificando-o para o SAQ A.
A poupança operacional desta migração é significativa. Um comerciante SAQ D deve realizar análises de vulnerabilidades trimestrais dos seus próprios servidores, testes de penetração anuais, gerir as políticas de controlo de acesso para o CDE, formar o pessoal em todos os requisitos PCI DSS aplicáveis e documentar dezenas de controlos. Com o SAQ A, a maioria destas obrigações desaparece porque o perímetro do comerciante não inclui sistemas que toquem dados de cartão. O custo anual de conformidade para um comerciante SAQ A estima-se em menos de 20% do custo equivalente para um comerciante SAQ D com o mesmo volume de transações.
Perguntas frequentes
A autoavaliação substitui uma auditoria formal?
Para os comerciantes de Nível 3 e 4, sim: o SAQ é o instrumento de validação aceite pelos adquirentes. Para os comerciantes de Nível 1 e muitos de Nível 2, é necessária uma auditoria formal realizada por um QSA com produção de um ROC. Se tiver dúvidas sobre o seu nível ou sobre qual o método de validação aceite pelo seu adquirente, verifique-o diretamente com ele antes de proceder com a autoavaliação.
Posso preencher o SAQ sozinho ou preciso de um QSA?
O SAQ pode ser preenchido de forma autónoma pelo comerciante sem a intervenção de um QSA. O PCI SSC disponibiliza os modelos gratuitamente no seu sítio web, com instruções detalhadas para o preenchimento. Para arquiteturas complexas ou em caso de dúvidas sobre a classificação do SAQ correto, um consultor ou o apoio do fornecedor de serviços de pagamento pode reduzir o risco de erros. Um SAQ preenchido incorretamente pode ser invalidado pelo adquirente na fase de revisão.
Quantas vezes por ano devo preencher o SAQ?
O SAQ deve ser preenchido uma vez por ano. Alguns adquirentes exigem a apresentação do SAQ atualizado aquando da renovação do contrato de aquisição ou de forma anual fixa. Para alguns tipos de SAQ (como o SAQ A-EP e o SAQ D), também se exigem análises de vulnerabilidades trimestrais por parte de um ASV acreditado. Verifique com o seu adquirente a frequência e as modalidades de apresentação exigidas para o seu contrato.
Do SAQ D ao SAQ A com a tokenização: o caminho mais rápido para simplificar a autoavaliação PCI DSS anual. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos