Cuestionario de autoevaluación de PCI DSS
Declaración de la directiva
Todas las ubicaciones o unidades comerciales que almacenan, procesan o transmiten datos de titulares de tarjetas deben realizar una autoevaluación anual en colaboración con Operaciones de tarjetas de pago.
Motivo de la Directiva
Los comerciantes de tarjetas de crédito de la Universidad de Florida están obligados a seguir procedimientos estrictos para proteger los datos de las tarjetas de crédito de los clientes y maximizar el cumplimiento de la PCI DSS. El incumplimiento de la protección de dicha información puede dar lugar a pérdidas financieras para los clientes, la suspensión de los privilegios de procesamiento de tarjetas de crédito, la imposición de multas a los comerciantes de tarjetas de crédito y el daño a la reputación de la Universidad.
¿Quién debe cumplir?
Todos los departamentos de la Universidad cuyo personal almacene, procese o transmita información del titular de la tarjeta. Esto también se aplica a las unidades que subcontratan el procesamiento de la información de las tarjetas de pago a terceros proveedores.
Resumen
El Cuestionario de Autoevaluación de la PCI DSS (SAQ) es una herramienta de validación destinada a ayudar a los comerciantes y proveedores de servicios a autoevaluar su cumplimiento con la PCI DSS. Todos los comerciantes del campus de la Universidad de Florida deben completar un SAQ cada año. Hay múltiples versiones del SAQ para cumplir con varios escenarios.
| SAQ | Descripción |
|---|---|
| A | Comerciantes con tarjeta no presente (comercio electrónico o pedidos por correo/teléfono), que han externalizado completamente todas las funciones de datos de los titulares de tarjetas a un proveedor de servicios externo que cumple con la norma PCI DSS, sin almacenamiento, procesamiento o transmisión electrónicos de ningún dato de los titulares de tarjetas en los sistemas o instalaciones del comerciante. No aplicable a los canales presenciales |
| A-EP | Comerciantes de comercio electrónico que subcontratan todo el procesamiento de pagos a terceros validados por la PCI DSS, y que tienen un sitio o sitios web que no reciben directamente los datos del titular de la tarjeta pero que pueden afectar a la seguridad de la transacción de pago. No se almacenan, procesan o transmiten datos electrónicos del titular de la tarjeta en los sistemas o instalaciones del comerciante. Aplicable únicamente a los canales de comercio electrónico |
| B | Los comerciantes que utilicen únicamente:
No aplicable a los canales de comercio electrónico |
| B-IP | Comerciantes que utilicen únicamente terminales de pago autónomos y aprobados por la STP con una conexión IP al procesador de pagos sin almacenamiento de datos electrónicos del titular de la tarjeta. No aplicable a los canales de comercio electrónico |
| C-VT | Comerciantes que introducen manualmente una sola transacción a la vez a través de un teclado en una solución de terminal de pago virtual basada en Internet que es proporcionada y alojada por un proveedor de servicios de terceros validado por la PCI DSS. Sin almacenamiento de datos electrónicos del titular de la tarjeta. No aplicable a los canales de comercio electrónico |
| C | Comerciantes con sistemas de aplicaciones de pago conectados a Internet – sin almacenamiento de datos electrónicos del titular de la tarjeta No aplicable a los canales de comercio electrónico |
| D | SAQ D para Comerciantes: Todos los comerciantes no incluidos en las descripciones de los tipos de SAQ anteriores
SAQ D para proveedores de servicios: Todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ |
| P2PE | Comerciantes que utilicen únicamente terminales de pago de hardware incluidos en una solución de cifrado punto a punto (PP2E) validada, incluida en la lista del PCI SSC, sin almacenamiento de datos electrónicos del titular de la tarjeta. No aplicable a los canales de comercio electrónico. |
El Consejo de Normas de Seguridad de la PCI proporciona la Guía de Instrucciones del SAQ para ayudar a completar el SAQ anual.
Definiciones
Normas de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS)
La Norma de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) se desarrolló para fomentar y mejorar la seguridad de los datos de los titulares de las tarjetas y facilitar la amplia adopción de medidas de seguridad de datos coherentes a nivel mundial. La PCI DSS se aplica a todas las entidades que participan en el procesamiento de tarjetas de pago, incluidos los comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. La PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o transmiten datos de titulares de tarjetas.
Última revisión
31/01/2021: contenido revisado