Vítejte na stránkách
PCI DSS
Sebehodnotící dotazník (SAQ)
Registrace
Přihlásit
Dotaznik A
Dotaznik B
Dotaznik C
Dotaznik C-VT
Dotaznik D
pro obchodníky
Dotaznik D
pro poskytovatele služeb
PCI DSS Požadavky
Pro obchodníky
Pro poskytovatele služeb-agenty
E-školení
O projektu
Výběr typu dotazníku
Kontakt
FAQ
Podmínky užití
Úvod
Informace o SAQ dotaznících

SAQ dotazníky jsou základním nástrojem pro vyhodnocování plnění PCI DSS požadavků, lze využít zejména pro obchodníky úrovně (level) 4 a 3, tj. do 1 mil. kartových transakcí za rok. U obchodníků se sofistikovaným řešením, kdy POS terminály pro akceptace platebních karet jsou napojeny na pokladní systémy a příp. komunikují na autorizační centrálu resp. banku prostřednictvím ICT prostředí obchodníka (např. po LAN), příp. u poskytovatelů služeb / agentů typu autorizačních center, je většinou nutné zkoumat shodu řešení se všemi 12 požadavky PCI DSS, k tomu byl zformulován dotazník, který ve své plné podobě (dotazník D) má přes 260 dílčích otázek.  V jednodušších případech, kdy akceptace probíhá prostřednictvím POS terminálu komunikujícího např. po pevné telefonní lince, mohou být některé požadavky a k nim se vztahující otázky nerelevantní a je možné použít dotazník typu B či C. Pro řešení k akceptacím karet na internetu prostřednictvím třetích stran formou platební brány, kdy obchodník se k datům držitelů karet vůbec nedostane, je možné využít nejjednodušší dotazník typu A.

Obecně platí následující:    

Dotazník  A
Vyplňují obchodníci bez přítomnosti karty (e-commerce nebo písemné/telefonické objednávky). Funkce související s daty držitelů karet jsou outsourcovány. Nelze uplatnit u obchodníků, kteří zároveň mají POS terminály/imprintery, které  používají při fyzickém kontaktu s klienty.

Vztahuje se tedy na obchodníky, kteří uchovávají pouze papírové sestavy o stvrzenkách s daty držitelů karet, neukládají data o držitelích karet v elektronickém formátu a nezpracovávají nebo nepřenášejí žádná data držitelů karet ve svých systémech a prostorách.

(Požadavek 9, 12)

Dotazník  B
Vyplňují obchodníci jen s imprintery a/nebo se samostatným POS terminálem (s telefonním připojením), bez elektronického uchovávání dat držitelů karet.

Oba tyto typy obchodníků mohou buď pracovat v „kamenných obchodech“ (s přítomností karty) nebo v rámci elektronického obchodování nebo mohou přijímat písemné/telefonické objednávky (bez přítomnosti karty).

Jsou uchovávány pouze papírové zprávy či kopie účtenek, nejsou uchovávána data držitelů karet v elektronickém formátu. Terminály nejsou napojeny na internet, data držitelů karet nejsou přenášena po interní síti nebo po internetu.

(Požadavek  3, 4, 7, 9, 12)


Dotazník  C
Vyplňují obchodníci se systémy POS terminály připojenými na internet, bez elektronického uchovávání dat držitelů karet (1. verze). 

Vztahuje se tedy na obchodníky, kteří zpracovávají data držitelů karet přes platební aplikace (například POS systémy) připojené k internetu (přes vysokorychlostní připojení, DSL, kabelový modem apod.), ale kteří neuchovávají data držitelů karet v žádném počítačovém systému.

Platební aplikace jsou připojeny k internetu buď proto, že platební aplikace

  • je na osobním počítači připojeném k internetu nebo
  • je připojena k internetu, aby přenášela data držitelů karet.
Mohou to být obchodníci působící buď v „kamenných obchodech“ (s přítomností karty) nebo v rámci elektronického obchodování nebo mohou přijímat písemné/telefonické objednávky (bez přítomnosti karty).

Dotazník  C - VT
Vyplňují obchodníci, kteří zpracovávají data držitelů karet prostřednictvím osamocených virtuálních terminálů na osobních počítačích napojených na internet, bez elektronického uchovávání dat držitelů karet.

Virtuální terminály jsou napojeny na internet a přistupují ke třetí straně, která provozuje zpracování platebních funkcí virtuálního terminálu. Tato třetí strana může být zpracovatel, acquirer nebo poskytovatel služeb jiné třetí strany, která uchovává, zpracovává a/nebo přenáší data držitelů karet k autorizaci a/nebo zúčtování platebních transakcí virtuálního terminálu obchodníka.

Mohou to být obchodníci působící buď v „kamenných obchodech“ (s přítomností karty) nebo v rámci elektronického obchodování nebo mohou přijímat písemné/telefonické objednávky (bez přítomnosti karty).

Dotazník není určený pro obchodníky e-commerce.

Dotazník  D
Vyplňují všichni ostatní obchodníci (neuvedení v předchozích typech)

a všichni poskytovatelé služeb definovaní kartovou asociací jako způsobilí pro vyplnění dotazníku (poskytovatelé služeb – agenti vyplňují speciální verzi dotazníku D). 

Subjekty, které vyplňují SAQ D, budou většinou potřebovat provést ověření shody u každého požadavku PCI DSS, výjimečně některé subjekty s velmi specifickými obchodními modely mohou zjistit, že některé požadavky se na ně nevztahují.  Například od společnosti, která nepoužívá  při své činnosti vůbec bezdrátovou technologii, se neočekávává, že bude provádět ověření shody s požadavky PCI DSS, které jsou specificky určeny pro bezdrátovou technologii.