¿Qué es un SAQ (Cuestionario de Autoevaluación)?

Un Cuestionario de Autoevaluación (SAQ) es el documento que un comercio o proveedor de servicios completa cada año para atestar su propio cumplimiento de PCI DSS. Es la vía de autovalidación abierta a todos los niveles de comercio excepto el Nivel 1, que tiene que ser evaluado por un Qualified Security Assessor. El PCI Security Standards Council publica nueve versiones del SAQ y la correcta para ti depende enteramente de cómo fluyen los datos del titular de la tarjeta por tu negocio: desde un SAQ A de 22 preguntas para e-commerce totalmente externalizado hasta un SAQ D de 329 preguntas para todo lo que no encaja en ningún otro sitio. Cada SAQ se acompaña de una Attestation of Compliance (AoC) emparejada, y ambos se envían a tu banco adquirente.

El SAQ —a veces llamado autoevaluación PCI o cuestionario de autoevaluación— no es un solo documento. Las nueve versiones cubren desde máquinas de improntar hasta terminales validados P2PE, y la distancia entre ellos en la práctica es enorme: un SAQ A es el trabajo de una tarde corta, un SAQ D son semanas. Equivócate de elección y harás mucho más de lo que necesitas o reclamarás una postura de cumplimiento que no puedes demostrar cuando un adquirente te pregunte. La mayoría de nuestros clientes aterrizan en SAQ A o SAQ C-VT una vez que el enmascaramiento DTMF saca su canal telefónico del alcance.

¿Qué es un Cuestionario de Autoevaluación?

Un Cuestionario de Autoevaluación (SAQ) es una herramienta de validación que usan los comercios y proveedores de servicios para evaluar y reportar su cumplimiento con PCI DSS. Es esencialmente una lista estructurada de preguntas sí/no que se corresponden con los requisitos de PCI DSS aplicables a tu entorno de pago concreto.

El SAQ está diseñado para organizaciones que no están obligadas a someterse a una evaluación in situ completa por parte de un Qualified Security Assessor (QSA). Esto suele significar comercios de Nivel 2, 3 y 4, lo que cubre a la inmensa mayoría de los negocios que aceptan pagos con tarjeta.

Tipos de SAQ

No hay solo un SAQ. El PCI Security Standards Council publica varias versiones, cada una adaptada a un tipo concreto de entorno de pago. El tipo de SAQ que tienes que completar depende de cómo maneja tu negocio los datos de tarjeta.

SAQ A

Para comercios que han externalizado por completo todo el procesamiento de datos de tarjeta a terceros validados PCI DSS. El comercio nunca ve, procesa ni almacena datos de tarjeta de ninguna forma. Es el SAQ más sencillo, con menos preguntas.

Uso típico: negocios de e-commerce que usan una página de pago alojada o un iframe donde los datos de tarjeta nunca tocan los servidores del comercio.

SAQ A-EP

Para comercios de e-commerce que externalizan parcialmente el procesamiento de pagos pero tienen elementos del sitio web que podrían afectar a la seguridad de la transacción de pago. El servidor web del comercio no recibe datos de tarjeta directamente, pero sí sirve la página que contiene el formulario de pago.

SAQ B

Para comercios que solo usan máquinas de improntar o terminales de pago autónomos por línea telefónica sin almacenamiento electrónico de datos de tarjeta.

SAQ B-IP

Para comercios que usan terminales de pago autónomos, aprobados PTS, conectados al procesador de pagos por IP (internet), sin almacenamiento electrónico de datos de tarjeta.

SAQ C

Para comercios con sistemas de aplicación de pago conectados a internet pero sin almacenamiento electrónico de datos de tarjeta. La aplicación de pago está en un dispositivo o segmento de red aislado.

SAQ C-VT

Para comercios que introducen manualmente los datos de tarjeta de una transacción a la vez a través de un terminal virtual proporcionado por un tercero validado PCI DSS. Sin almacenamiento electrónico de datos de tarjeta.

Uso típico: pequeños negocios o call centres donde los agentes teclean los datos de tarjeta en una página de pago basada en web.

SAQ D

El SAQ más exhaustivo, que cubre todos los requisitos de PCI DSS. Aplica a comercios y proveedores de servicios que no encajan en ninguna de las otras categorías de SAQ. Es esencialmente el estándar completo de PCI DSS en forma de cuestionario.

Uso típico: comercios que almacenan datos de tarjeta electrónicamente o aquellos con entornos de pago complejos que abarcan múltiples canales y sistemas.

SAQ P2PE

Para comercios que usan una solución P2PE (cifrado punto a punto) validada y sin almacenamiento electrónico de datos de tarjeta. La solución P2PE cifra los datos de tarjeta en el punto de interacción, lo que significa que el entorno del comercio nunca tiene acceso a datos de tarjeta en claro.

Cómo determinar tu tipo de SAQ

Elegir el tipo de SAQ correcto es crítico. Completar el equivocado —demasiado simple o demasiado complejo— puede dar lugar a problemas de cumplimiento. Las preguntas clave que hay que hacerse son:

• ¿Cómo acepta pagos con tarjeta tu negocio? (¿Online, presencial, por teléfono o una combinación?)
• ¿Pasan los datos de tarjeta alguna vez por tus sistemas, aunque sea brevemente?
• ¿Almacenas algún dato de tarjeta electrónicamente después de una transacción?
• ¿Qué tecnología usas para procesar pagos? (¿Terminal virtual, terminal de pago, integración web?)
• ¿Has externalizado alguna parte del proceso de pago a un tercero?

Tu banco adquirente puede ayudarte a determinar el tipo de SAQ correcto. Muchos QSA también ofrecen consultas previas a la evaluación para asegurarse de que completas el cuestionario adecuado.

Cómo completar el SAQ

Cada pregunta del SAQ se mapea a un requisito concreto de PCI DSS. Para cada pregunta, tienes que indicar una de las siguientes opciones:

• Sí: el requisito se cumple por completo.
• Sí con CCW (Hoja de Control Compensatorio): el requisito se cumple mediante un control compensatorio alternativo.
• No: el requisito no se cumple (no eres conforme).
• N/A: el requisito no aplica a tu entorno.

Cualquier respuesta «No» significa que tienes una brecha de cumplimiento que hay que subsanar. No puedes enviar un SAQ con respuestas «No» pendientes y reclamar el cumplimiento. Una vez que todos los requisitos se cumplen, firmas una Attestation of Compliance (AoC) y envías ambos documentos a tu banco adquirente.

SAQ y pagos telefónicos

El tipo de SAQ aplicable a los entornos de pago telefónico depende de cómo se manejan los datos de tarjeta:

• Si los agentes teclean los datos de tarjeta en un terminal virtual y no se almacenan datos de tarjeta, puede aplicar SAQ C-VT.
• Si los agentes manejan los datos de tarjeta de cualquier otra forma, o si las grabaciones de llamadas capturan los datos de tarjeta, probablemente sea necesario SAQ D.
• Si una solución de enmascaramiento DTMF impide por completo que los datos de tarjeta entren en el entorno del agente, el canal de pago telefónico puede cumplir los requisitos de SAQ A o una evaluación significativamente más simple.

La diferencia entre el SAQ C-VT (alrededor de 80 preguntas) y el SAQ D (más de 300 preguntas) es sustancial. Sacar el entorno telefónico del alcance puede ahorrar semanas de trabajo de evaluación y reducir significativamente los controles de seguridad que tu organización necesita mantener.