Questionnaire d’auto-évaluation PCI DSS
Déclaration de directive
Tous les sites ou unités marchands qui stockent, traitent ou transmettent des données de titulaires de cartes doivent effectuer une auto-évaluation annuelle en partenariat avec Payment Card Operations.
Motif de la directive
Les commerçants de cartes de crédit de l’Université de Floride sont tenus de suivre des procédures strictes pour protéger les données des cartes de crédit des clients et maximiser la conformité avec le PCI DSS. Le fait de ne pas protéger ces informations peut entraîner des pertes financières pour les clients, la suspension des privilèges de traitement des cartes de crédit, des amendes imposées aux commerçants de cartes de crédit et des dommages à la réputation de l’Université.
Qui doit se conformer ?
Tous les départements de l’Université dont le personnel stocke, traite ou transmet des informations sur les titulaires de cartes. Cela s’applique également aux unités qui sous-traitent le traitement des informations relatives aux cartes de paiement à des fournisseurs tiers.
Overview
Le questionnaire d’auto-évaluation PCI DSS (SAQ) est un outil de validation destiné à aider les commerçants et les fournisseurs de services à auto-évaluer leur conformité à la norme PCI DSS. Tous les commerçants du campus de l’Université de Floride sont tenus de remplir un SAQ chaque année. Il existe plusieurs versions du SAQ pour répondre à divers scénarios.
| SAQ | Description |
|---|---|
| A | Marchands sans carte (commerce électronique ou commande par courrier/téléphone), qui ont entièrement externalisé toutes les fonctions relatives aux données des titulaires de cartes auprès d’un fournisseur de services tiers conforme à la norme PCI DSS, sans aucun stockage, traitement ou transmission électronique des données des titulaires de cartes sur les systèmes ou dans les locaux du commerçant. Non applicable aux canaux en face à face |
| A-EP | Marchands de commerce électronique qui externalisent tout le traitement des paiements à des tiers validés PCI DSS, et qui ont un ou des sites web qui ne reçoivent pas directement les données des titulaires de cartes mais qui peuvent avoir un impact sur la sécurité de la transaction de paiement. Aucun stockage, traitement ou transmission de données électroniques des titulaires de cartes sur les systèmes ou dans les locaux du commerçant. Applicable uniquement aux canaux de commerce électronique |
| B | Marchands utilisant uniquement :
Non applicable aux canaux de commerce électronique |
| B-IP | Marchands utilisant uniquement des terminaux de paiement autonomes, approuvés par le STP, avec une connexion IP au processeur de paiement sans stockage électronique des données des titulaires de cartes. Non applicable aux canaux de commerce électronique |
| C-VT | Marchands qui saisissent manuellement une seule transaction à la fois via un clavier dans une solution de terminal de paiement virtuel basée sur Internet qui est fournie et hébergée par un fournisseur de services tiers validé PCI DSS. Pas de stockage électronique des données des titulaires de cartes. Non applicable aux canaux de commerce électronique |
| C | Marchands disposant de systèmes d’application de paiement connectés à Internet – pas de stockage électronique des données des titulaires de cartes Non applicable aux canaux de commerce électronique |
| D | SAQ D pour les marchands : Tous les commerçants non inclus dans les descriptions des types de SAQ ci-dessus
SAQ D pour les prestataires de services : Tous les fournisseurs de services définis par une marque de paiement comme étant admissibles à remplir un SAQ |
| P2PE | Marchands utilisant uniquement des terminaux de paiement matériels inclus dans et gérés via une solution de cryptage point à point (PP2E) validée et répertoriée par PCI SSC, sans stockage des données électroniques des titulaires de cartes. Non applicable aux canaux de commerce électronique. |
Le PCI Security Standards Council fournit le guide d’instruction SAQ pour aider à remplir le SAQ annuel.
Définitions
Normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été développée pour encourager et améliorer la sécurité des données des titulaires de cartes et faciliter l’adoption à grande échelle de mesures de sécurité des données cohérentes à l’échelle mondiale. PCI DSS s’applique à toutes les entités impliquées dans le traitement des cartes de paiement, notamment les commerçants, les processeurs, les acquéreurs, les émetteurs et les fournisseurs de services. PCI DSS s’applique également à toutes les autres entités qui stockent, traitent ou transmettent des données de titulaires de cartes.
Dernière révision
01/31/2021 : contenu révisé
.