O PCI DSS SAQ A é o questionário de autoavaliação mais simples previsto pelo PCI DSS: menos de 30 perguntas em comparação com as mais de 300 do SAQ D. Compreender quem pode preenchê-lo e como chegar a esse ponto é estratégico para qualquer comerciante que pretenda reduzir a carga de conformidade sem abdicar da segurança. A distinção entre os diferentes tipos de SAQ depende de como e onde os dados de cartão são processados.
Os tipos de SAQ PCI DSS: de A a D, o que muda
O PCI Security Standards Council definiu vários tipos de SAQ (Self-Assessment Questionnaire) para adaptar os procedimentos ao perfil de risco real do comerciante. Nem todos os comerciantes têm o mesmo nível de exposição: um comércio eletrónico que utiliza uma página de pagamento alojada é muito diferente de uma empresa que processa números de cartão por telefone e os armazena numa base de dados interna.
Os principais tipos são: SAQ A para comerciantes card-not-present que delegam completamente o tratamento dos dados de cartão a terceiros certificados; SAQ A-EP para comércio eletrónico com página de pagamento parcialmente delegada; SAQ B para terminais físicos não ligados à internet; SAQ C para sistemas POS ligados; SAQ D para todos os demais comerciantes, incluindo os que armazenam PAN ou gerem o checkout diretamente. O SAQ D é o mais completo e oneroso.
SAQ A vs SAQ D: a diferença que vale horas de trabalho
A diferença entre o SAQ A e o SAQ D não é apenas o número de perguntas. O SAQ D exige documentar políticas de segurança, controlos de acesso, procedimentos de registo, gestão de vulnerabilidades, planos de resposta a incidentes e muito mais. Um comerciante médio investe semanas a reunir evidências e a completá-lo corretamente, muitas vezes com o apoio de um consultor externo.
O SAQ A, pelo contrário, centra-se num perímetro mínimo: verifica que o comerciante não conserva, processa nem transmite dados de cartão nos seus próprios sistemas e que o fornecedor de pagamento utilizado está certificado PCI DSS. Com o SAQ A, um comerciante pode gerir a sua própria autoavaliação em poucas horas, sem consultoria especializada e sem necessidade de documentar toda a infraestrutura informática.
Como passar do SAQ D para o SAQ A com a tokenização
O requisito prévio para o SAQ A é que nenhum dado de cartão transite nem seja conservado nos sistemas do comerciante. A tokenização resolve este problema na raiz: o checkout envia os dados de cartão diretamente para o vault certificado da PCI Proxy EU através de uma página de pagamento alojada ou de um SDK do lado do cliente. O comerciante recebe unicamente um token opaco, que não tem valor fora do vault.
Esta mudança arquitetónica tem um impacto direto no tipo de SAQ aplicável. Um comerciante que hoje preenche um SAQ D porque o seu CRM ou o seu ERP recebe os PAN pode migrar para o SAQ A simplesmente adotando uma solução de tokenização certificada. O perímetro reduz-se, a documentação simplifica-se e o custo total da conformidade diminui de forma significativa.
Perguntas frequentes
Quantas perguntas tem o SAQ A?
O SAQ A na versão PCI DSS v4.0 contém aproximadamente 22 requisitos verificáveis, muitos dos quais exigem apenas confirmar que o tratamento de dados está delegado a um fornecedor certificado. O SAQ D, na mesma versão, ultrapassa as 300 perguntas com solicitações de evidências documentais para cada uma.
O SAQ A aplica-se a todos os comerciantes de comércio eletrónico?
Não. O SAQ A apenas é válido para comerciantes card-not-present que nunca tocam os dados de cartão nos seus próprios servidores. Se o checkout estiver totalmente alojado pelo fornecedor de pagamento certificado e o comerciante nunca vir um PAN, o SAQ A é aplicável. Se, pelo contrário, o comerciante gerir mesmo que uma parte do formulário de pagamento, recai-se no SAQ A-EP ou no SAQ D.
Com a PCI Proxy EU, que SAQ devo preencher?
Na configuração padrão, onde o checkout utiliza a página alojada ou o SDK do lado do cliente da PCI Proxy EU sem que os dados de cartão passem pelos seus servidores, pode preencher o SAQ A. O seu adquirente ou PSP pode confirmar isto durante o processo de integração.
Quer passar do SAQ D para o SAQ A reduzindo drasticamente a sua carga de conformidade? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.