SAQ (Self-Assessment Questionnaire), PCI DSS standardına uyması gereken kuruluşlar için bir öz değerlendirme listesidir. Şirketin ASV taraması yerine hafif denetimden geçtiği durumlarda kullanılır.
SAQ’DAN geçmek için gerekliliklerden birinin karşılanması gerekir: müşteri bir finans kuruluşu, işlem merkezi veya küresel sağlayıcı değildir veya bir yıl içinde işlem sayısı 300.000’i geçmez.
PCI DSS uyumluluğu
SAQ Türleri
Elektronik ödemelerin işleme yöntemine bağlı olarak, öz değerlendirme sayfası sekiz türe ayrılır.
- «A» tipi. Ödeme yapmak için banka kartı kullanmayan kuruluşlara atanır. PCI DSS standardına göre tam denetimden geçen üçüncü taraf şirketleri çekiyorlar. Onlar sadece son kullanıcının nakit fonlarının yönlendiricisidir.
- «A-EP» tipi. Tüzel kişiliğin kendi sitesi vardır, ancak ödeme için denetlenen üçüncü bir taraf görevlendirilir. Bu seçenek e-ticaret kanalları için geçerlidir.
- «B» tipi. Kuruluşlar, ödeme yapmak için sağlayıcıya telefon hattı üzerinden bağlanan bağımsız terminaller kullanır.
- «B-IP» tipi. Şirket, PCI DSS standardına uygun bağımsız elektronik terminaller kullanmaktadır. Bağlantı TCP/IP protokolü kullanılarak yapılır.
- «C-VT» tipi. Tüzel kişi, elektronik işlemi gerçekleştirmek için her seferinde banka kartı verilerini terminale manuel olarak girer. TCP/IP protokolü üzerinden harici bir ağa bağlanır ve PCI DSS standardına uygundur.
- «C” tipi. Kuruluş, ödemeleri doğrudan internete bağlı POS terminalleri veya bir proxy sunucusu aracılığıyla yürütür.
- «P2PE» tipi. Bu durumda şirket yalnızca P2PE sertifikalı ürünler kullanmaktadır.
- «D” tipi. Yukarıdaki türlere uymayan diğer tüm şirketler için geçerlidir.
Hepsinde SAQ varyasyonu banka kartı sahibinin bilgileri kuruluş tarafında saklanmaz, aktarılmaz veya işlenmez.
Kendi kendine sorgulama sayfasını doldurma işlemi, ifadelerin özgüllüğü nedeniyle zordur. Müşterinin zorlukları varsa, gerekli sertifikalara sahip üçüncü bir tarafa başvurmanız önerilir.
Öz değerlendirme sayfasını doldururken yardım sağlamaya istekli olan şirketler, PCI DSS standardına uygun olarak ücretli iç denetim eğitimi alırlar.