Si tu organización trata con cualquier tipo de datos de titulares de tarjetas bancarias, seguro que ya has oído hablar de los cuestionarios de autoevaluación.
Estos cuestionarios son un informe formal del cumplimiento normativo de una organización en cuanto a las normas de seguridad de datos de la PCI (es decir, la industria de tarjetas de pago). En otras palabras, evalúan si un comerciante o proveedor de servicios ha tomado las medidas necesarias para proteger los datos del titular de la tarjeta y documenta su postura de seguridad en términos generales.
Aun así, el proceso para completar un cuestionario de autoevaluación es diferente según la organización. De hecho, antes de ponerte manos a la obra con la evaluación, tendrás que elegir entre 9 tipos diferentes de cuestionarios en función de tu método de pago específico y del entorno del titular de la tarjeta.
A continuación, vamos a explicar cada tipo de cuestionario de autoevaluación, sus implicaciones y cómo determinar cuál es el mejor para tu entorno.
¿Qué es un cuestionario de autoevaluación de las normas de seguridad de datos de la PCI?
El cuestionario de autoevaluación de las normas de seguridad de datos de la PCI es una herramienta de validación que está diseñada para ayudar a los comerciantes y los proveedores de servicios a la hora de evaluar y generar informes de cumplimiento normativo con respecto a las normas de seguridad de datos de la PCI.
Cada cuestionario de autoevaluación comienza con una sección que se titula «Antes de comenzar», donde se explica el tipo de entorno del titular de la tarjeta que cubre el cuestionario en concreto. Esto va seguido de una serie de preguntas directas (es decir, que se responden con un simple «sí» o «no») sobre todos los aspectos de las actividades de tratamiento y controles de seguridad de la organización que implican a las tarjetas de pago, lo que a su vez abarca la seguridad de la red, la configuración del sistema y el control de accesos, entre otros factores.
Asimismo, los cuestionarios de autoevaluación también incluyen un atestado de cumplimiento normativo, que sirve como una declaración formal del cumplimiento normativo por parte de la organización en lo respectivo a las normas de seguridad de datos de la PCI.
Por último, los cuestionarios de autoevaluación incluyen estas tres secciones:
- Sección 1: información de la evaluación y resumen ejecutivo (partes 1 y 2 del atestado de cumplimiento normativo).
- Sección 2: cuestionario de autoevaluación de las normas de seguridad de datos de la PCI.
- Sección 3: detalles de validación y atestados, y plan de acción para los aspectos que no cumplan con la normativa si procediera (partes 3 y 4 del atestado de cumplimiento normativo).
Los cuestionarios de autoevaluación están disponibles tanto en formato en línea como en PDF descargable.
¿Quién debe completar un cuestionario de autoevaluación de las normas de seguridad de datos de la PCI?
No todas las organizaciones cumplen los requisitos para efectuar la autoevaluación. Tan solo los comerciantes y proveedores de servicios con un volumen de transacciones más bajo —es decir, con menos de 6 millones de transacciones anuales con tarjetas bancarias para los comerciantes y menos de 300 000 transacciones anuales con tarjetas bancarias para los proveedores de servicios— podrán enviar un cuestionario de autoevaluación para demostrar el cumplimiento de las normas de seguridad de datos de la PCI.
Por su parte, las organizaciones con un mayor número de operaciones anuales deberán presentar un informe más detallado sobre el cumplimiento normativo.
Dicho esto, es aconsejable que consultes más información sobre los diferentes niveles de los comerciantes y proveedores de servicios según lo dispuesto por las normas de seguridad de datos de la PCI.
Para saber más, las organizaciones también deben consultar con su banco o empresa de gestión de pagos con el fin de determinar si cumplen con los requisitos para enviar un cuestionario de autoevaluación y qué tipo de cuestionario es el más apropiado para su entorno de acuerdo con los titulares de las tarjetas.
¿Qué cuestionario de autoevaluación de las normas de seguridad de datos de la PCI se adapta más a las necesidades de tu negocio?
Hay 9 tipos de cuestionarios de autoevaluación de las normas de seguridad de datos de la PCI: 8 para comerciantes y uno para proveedores de servicios*. Determinar cuál es el más adecuado para tu organización depende de dos factores: si eres un comerciante o un proveedor de servicios, y tu forma de procesar los pagos con tarjeta.
Consulta las siguientes explicaciones para determinar qué tipo de cuestionario de autoevaluación es mejor para tu organización:
Cuestionario de autoevaluación A
Para los comerciantes que no hagan un uso físico de tarjetas, es decir, que utilicen plataformas de comercio electrónico o hagan sus pedidos por email o teléfono y que hayan subcontratado por completo todas las funciones para los datos de los titulares de tarjetas a proveedores de servicio o terceros que cumplan con las normas de seguridad de datos de la PCI en los sistemas o instalaciones del comerciante. Este cuestionario no se aplica a canales presenciales.
Cuestionario de autoevaluación A-EP
Para los comerciantes de comercio electrónico que subcontraten todo el tratamiento de los pagos a terceros que cumplan con las normas de seguridad de datos de la PCI y que dispongan de un sitio web que no reciba directamente los datos de los titulares de las tarjetas pero que sí pueda tener un impacto en la seguridad de las transacciones de pago. No se permite el almacenamiento, tratamiento o transmisión electrónicos de los datos de los titulares de las tarjeta en los sistemas o instalaciones del comerciante. Este cuestionario solamente se aplica a canales de comercio electrónico.
Cuestionario de autoevaluación B
Para comerciantes que solo utilicen: impresoras de tarjetas de crédito sin almacenamiento electrónico de los datos de los titulares de tarjetas ni terminales de marcado independientes con almacenamiento electrónico de los datos de los titulares de tarjetas. Este cuestionario no se aplica a canales de comercio electrónico.
Cuestionario de autoevaluación B-IP
Para comerciantes que solo utilicen terminales de pago independientes que hayan sido aprobadas por la PCI con una conexión IP al encargado del tratamiento de los pagos sin almacenamiento electrónico de datos de los titulares de las tarjetas. Este cuestionario no se aplica a canales de comercio electrónico.
Cuestionario de autoevaluación C-VT
Para los comerciantes que introducen de modo manual cada transacción con un teclado en la solución de una terminal de pago virtual por internet que ofrece y hospeda un proveedor de servicios o tercero que está validado por las normas de seguridad de datos de la PCI. Además, no se produce un almacenamiento de los datos de los titulares de tarjetas electrónicas. Este cuestionario no se aplica a canales de comercio electrónico.
Cuestionario de autoevaluación C
Para comerciantes con sistemas de aplicaciones de pago que están conectados a internet sin que haya un almacenamiento electrónico de los datos de los titulares de las tarjetas. Este cuestionario no se aplica a canales de comercio electrónico.
Cuestionario de autoevaluación P2PE-HW
Para comerciantes que solo utilizan terminales de pago de hardware que están incluidos y administrados a partir de una solución de P2PE (cifrado punto a punto) que está validada y listada por el consejo de normas de seguridad de la PCI, sin que se produzca un almacenamiento de los datos de los titulares de tarjetas electrónicas. Este cuestionario no se aplica a canales de comercio electrónico.
Cuestionario de autoevaluación D
SAQ D para comerciantes: para cualquier comerciante que no esté incluido en las descripciones de los tipos de cuestionarios de autoevaluación de arriba.
SAQ D para proveedores de servicios: para cualquier proveedor de servicios que esté considerado por una empresa de pagos como apto para completar un cuestionario de autoevaluación.
