04/08/2014

SAQ A, SAQ A-EP, SAQ D : différences ?

Cet article est destiné aux entreprises qui ont reçu une lettre de leur banque d'acquisition leur demandant de leur renvoyer le formulaire PCI DSS SAQ.

Depuis l'arrivée du PCI DSS v3.0,un nouveau questionnaire d'auto-évaluation pour les marchands e-commerce a été publié : le SAQ A-EP. Comme il est très difficile de s'y retrouver parmi tous les différents questionnaires SAQ, j'essaye d'en faire une synthèse ici :

Cinématiques éligibles au questionnaire SAQ A :

Cinématique "URL Redirect" : Le serveur web e-commerce redirige le client vers le formulaire de paiement du PSP.
Cinématique "IFRAME" : Intégration de la page de paiement du PSP dans une < iframe >.

Cinématiques éligibles au questionnaire SAQ A-EP :

Cinématique "Direct-Post" : Le formulaire HTML d'acceptation de la carte est généré par le serveur du commerçant, mais le numéro de carte (PAN) est directement envoyé ("posté") depuis le navigateur vers le serveur du PSP sans repasser par le serveur du commerçant (méthode dite "AJAX Post")

Cinématique "Javascript-Form" : Lors de l'affichage de la page de paiement par le serveur du commerçant, la page contient une référence vers un JavaScript hébergé par le PSP. Le JavaScript s'exécute dans le navigateur du client et créé le formulaire de paiement. Le PAN sera ensuite saisi par le client et envoyé au PSP, sans passer par le commerçant.

Cinématiques éligibles au questionnaire  SAQ D :

Cinématique "passe plat" : Le serveur du commerçant reçoit le numéro de carte (PAN + CVV2), ne le stocke pas et l'envoi immédiatement au PSP par une interface Web Service (mode API).

Cinématique "stockage" : Le serveur du commerçant reçoit le numéro de carte (PAN + CVV2),  réalise la transaction avec l'API du PSP, puis stocke le PAN de façon chiffrée en base de données pour faciliter les futurs achats.


Quelles sont les différences entre SAQ A, SAQ A-EP et SAQ D ?

  • Le questionnaire SAQ D est tout simplement le PCI DSS complet. Aucune différence avec un ROC du point de vue exigences.
  • Le SAQ A-EP est complexe. Il est légèrement allégé par rapport au SAQ D, mais ce questionnaire est assez proche du PCI DSS complet. Il sera cependant applicable qu'à un périmètre très restreint : le serveur web e-commerce (si ce dernier est isolé par un firewall des autres serveurs)/
  • Le questionnaire d'auto-évaluation SAQ A est très simple, il se remplit en quelques minutes.


Faut-il passer par un QSA pour remplir son SAQ ?


Non. Le marchand peut le remplir seul et le renvoyer signé à sa banque. Cependant, dans un souci d'exactitude et de précision, le marchand pourra faire appel à un QSA pour l'aider à comprendre les exigences et le remplir.

Aucun commentaire:

Enregistrer un commentaire