Módulo 4: Elige el SAQ PCI correcto

Para ver la definición formal consulta Cuestionario de Autoevaluación (SAQ). Este módulo es la versión práctica.

La mayoría de negocios valida el cumplimiento de PCI DSS no con una auditoría externa, sino llenando un formulario. Ese formulario es el Cuestionario de Autoevaluación, y elegir el correcto importa más de lo que muchos creen — si te equivocas, o haces mucho más trabajo del necesario, o estás declarando un cumplimiento que en realidad no puedes demostrar.

Un Cuestionario de Autoevaluación (SAQ, por sus siglas en inglés) es un formulario estructurado publicado por el Payment Card Industry Security Standards Council que permite a un negocio confirmar por escrito que cumple con los requisitos relevantes de PCI DSS según cómo acepta pagos con tarjeta. Hay nueve versiones — A, A-EP, B, B-IP, C, C-VT, P2PE, SPoC y D — y cada una encaja con un montaje específico, desde una tienda pequeña con terminal hasta un sitio de comercio electrónico que procesa millones de transacciones. El comercio lo completa una vez al año y lo entrega a su banco adquirente.

El Cuestionario de Autoevaluación, casi siempre abreviado como SAQ, es la vía de validación que usa la gran mayoría de comercios — todos los que no están clasificados como Nivel 1. Cada tipo de SAQ cubre un escenario de pago distinto: el SAQ A aplica a comercios que tercerizaron por completo el manejo de tarjeta a un tercero cumplidor; el SAQ D cubre todo lo demás y llega a más de 300 preguntas. Elegir mal es un error común, y equivocarse significa esfuerzo desperdiciado o una brecha de cumplimiento que tu adquirente terminará detectando.

¿Qué es un Cuestionario de Autoevaluación?

Para la gran mayoría de negocios, validar el cumplimiento de PCI DSS significa completar un Cuestionario de Autoevaluación — un SAQ. Es un formulario estructurado publicado por el PCI Security Standards Council que te pide confirmar si tu negocio cumple con requisitos específicos de PCI DSS según cómo manejas los datos de tarjeta.

Piénsalo como una lista de cumplimiento adaptada a tu montaje de pagos. En vez de tener un auditor externo que pruebe cada aspecto de tu seguridad (lo que sí deben hacer los comercios Nivel 1, como vimos en el Módulo 3), un SAQ te permite autocertificar que cumples los requisitos. Lo completas cada año, firmas una Attestation of Compliance (AoC) y entregas ambos a tu banco adquirente.

Pero esto es lo que sorprende a muchos: no hay un solo SAQ. Hay varios tipos, cada uno diseñado para una forma específica de aceptar pagos con tarjeta. Elegir el correcto es clave — usar el SAQ equivocado significa que estás respondiendo preguntas que no aplican o, peor, te estás saltando requisitos que sí aplican.

Los tipos de SAQ explicados

El PCI SSC publica varios tipos de SAQ. Cada uno corresponde a un método y alcance de aceptación de pagos. Esto es lo que necesitas saber de cada uno:

SAQ A — Sin presencia de tarjeta, totalmente tercerizado

Preguntas: 22

El SAQ A es el cuestionario más simple y el que todo negocio debería intentar conseguir si es posible. Aplica cuando has tercerizado todo el manejo de datos de tarjeta a terceros cumplidores con PCI. Tus sistemas nunca almacenan, procesan ni transmiten datos del titular de tarjeta.

Escenarios típicos de SAQ A:

• Negocios de comercio electrónico que usan una página de pago alojada (como Stripe Checkout o PayPal) donde el cliente escribe los datos de tarjeta en el sitio del proveedor, no en el tuyo
• Negocios que toman pagos telefónicos con una solución de enmascaramiento DTMF como Paytia, donde los datos de tarjeta van directo al procesador de pagos sin pasar por tus sistemas
• Negocios de venta por correo donde los datos de tarjeta se ingresan directamente en una terminal de terceros, sin almacenamiento electrónico

Con solo 22 preguntas, el SAQ A es manejable incluso para el negocio más pequeño, sin equipo de TI o de cumplimiento dedicado.

SAQ A-EP — Comercio electrónico con tercerización parcial

Preguntas: 191

El SAQ A-EP aplica a comercios de comercio electrónico que tercerizan parcialmente el procesamiento de tarjeta pero cuyo sitio web sigue jugando un papel en la transacción de pago — por ejemplo, alojando elementos de la página de pago o usando JavaScript que podría afectar la seguridad del proceso de pago, aunque los datos de tarjeta los procese al final un tercero.

Un ejemplo común es usar un formulario embebido (un iframe) del proveedor de pagos dentro de tu propia página de checkout. Tu servidor no toca los datos de tarjeta directamente, pero el código y el entorno de hosting de tu sitio podrían comprometerse para interceptarlos. Con 191 preguntas, el SAQ A-EP es mucho más exigente que el SAQ A, cubriendo seguridad de aplicaciones web, escaneo de vulnerabilidades y más.

SAQ B — Máquinas de impresión o terminales independientes de marcación telefónica

Preguntas: 41

El SAQ B es para comercios que usan terminales de pago independientes con marcación telefónica (las máquinas físicas que se conectan por línea telefónica) o máquinas manuales de impresión a la vieja usanza. Estas terminales no deben estar conectadas a tu red ni a internet. Es un escenario cada vez más raro porque la mayoría de terminales modernas usan conectividad IP.

SAQ B-IP — Terminales independientes conectadas por IP

Preguntas: 82

El SAQ B-IP cubre comercios que usan terminales de pago independientes conectadas al procesador de pagos por una red IP (internet o red privada) en vez de por línea telefónica. Las terminales están aprobadas por PTS (un estándar de seguridad de hardware) y no están conectadas a ningún otro sistema de tu entorno.

Esto es habitual en entornos minoristas donde la máquina de tarjetas se conecta por Ethernet o Wi-Fi para procesar transacciones, pero no está integrada con un sistema de punto de venta ni con la red de back-office.

SAQ C — Sistemas de aplicación de pagos conectados a internet

Preguntas: 160

El SAQ C es para comercios cuyo sistema de aplicación de pagos (como un punto de venta) está conectado a internet pero no almacena datos del titular de tarjeta de forma electrónica. La aplicación de pagos debe estar en una red segmentada — aislada del resto de los sistemas del negocio.

SAQ C-VT — Terminal virtual, una transacción a la vez

Preguntas: 79

El SAQ C-VT aplica a comercios que ingresan manualmente los datos de tarjeta en una terminal virtual basada en web que provee su procesador de pagos. Los requisitos clave son que ingreses una transacción a la vez (no procesamiento por lotes), que la terminal virtual la provea tu procesador con cumplimiento PCI y que tu computadora no almacene datos de tarjeta.

Esto es común en negocios pequeños y centros de contacto donde los agentes escriben los números de tarjeta en una página de pago en el navegador. Eso sí, esto significa que los agentes ven y manejan datos de tarjeta, lo cual mete sus estaciones de trabajo, la red y a los propios agentes en el alcance PCI. Para los negocios que quieren evitar esto, las soluciones de enmascaramiento DTMF pueden sacar al agente del flujo de datos de tarjeta por completo y podrían dejarte calificar para el SAQ A.

SAQ D — Todos los demás

Preguntas: 326 (para comercios) / 347 (para proveedores de servicio)

El SAQ D es el cuestionario completo. Cubre cada requisito de PCI DSS a detalle. Necesitas el SAQ D si tu montaje de pagos no encaja con ninguna de las otras categorías — lo cual suele querer decir que almacenas, procesas o transmites datos del titular de tarjeta dentro de tus propios sistemas de formas que los SAQ más específicos no cubren.

Ejemplos: negocios que almacenan números de tarjeta en su propia base de datos, procesan transacciones por sus propios servidores o tienen entornos de pago complejos que abarcan varios canales y sistemas.

El SAQ D es un esfuerzo considerable. Con 326 preguntas que cubren los 12 requisitos de PCI DSS, exige tiempo, experiencia técnica y documentación. La diferencia de costo de cumplimiento entre SAQ A y SAQ D es enorme — no solo en el tiempo para llenar el cuestionario, sino en los controles de seguridad, monitoreo y documentación que debes tener en pie.

SAQ P2PE — Cifrado punto a punto

Preguntas: 33

El SAQ P2PE aplica a comercios que usan una solución validada de cifrado punto a punto (P2PE) para sus pagos con tarjeta presenciales. P2PE cifra los datos de tarjeta desde el momento de la interacción en la terminal, lo cual significa que tus sistemas nunca acceden a datos de tarjeta sin cifrar. Esto reduce el alcance bastante, dejando el cuestionario en solo 33 preguntas.

Cómo saber qué SAQ necesitas

Elegir el SAQ correcto requiere una evaluación honesta de cómo fluyen los datos de tarjeta por tu negocio. Hazte estas preguntas:

• ¿Tus sistemas almacenan datos de tarjeta en algún momento? Si sí, probablemente estás viendo SAQ D.
• ¿Tus sistemas procesan o transmiten datos de tarjeta? Si tercerizaste esto del todo, podría aplicar el SAQ A. Si tus sistemas participan en el flujo de la transacción, considera SAQ A-EP, C o C-VT.
• ¿Tu personal ve o escucha números de tarjeta? Si los agentes escriben datos de tarjeta en una terminal virtual, eso es SAQ C-VT. Si usas enmascaramiento DTMF para que los agentes nunca se topen con datos de tarjeta, podrías calificar para SAQ A.
• ¿Qué tipo de terminales de pago usas? Las terminales independientes con marcación telefónica apuntan al SAQ B. Las terminales independientes conectadas por IP sugieren SAQ B-IP. Las terminales que usan P2PE validado sugieren SAQ P2PE.

Ante la duda, consulta a tu banco adquirente o a un Qualified Security Assessor. Equivocarte de SAQ puede significar trabajo innecesario (usar un SAQ más estricto del que necesitas) o una brecha de cumplimiento (usar uno menos estricto del que tu montaje exige).

Cómo completar tu SAQ

Una vez sabes cuál SAQ aplica, el proceso es relativamente directo:

• Lee las instrucciones del SAQ — cada SAQ tiene una sección introductoria que explica su alcance, los criterios de elegibilidad y cómo responder las preguntas
• Responde cada pregunta con honestidad — para cada control vas a indicar si está implementado, no implementado, no aplicable o si tienes un control compensatorio
• Documenta tu evidencia — aunque el SAQ es autoevaluado, debes mantener documentación que respalde tus respuestas. Si tu banco adquirente te cuestiona o si ocurre una brecha, vas a necesitar mostrar el trabajo
• Completa la Attestation of Compliance (AoC) — esta es una declaración firmada que confirma tu estado de cumplimiento
• Entrégalo a tu banco adquirente — los plazos y métodos de entrega varían por banco

Recuerda que un SAQ es un requisito anual. Pero el cumplimiento en sí es continuo — necesitas mantener los controles que atestiguaste durante todo el año, no solo al momento de la evaluación. PCI DSS v4.0.1 pone énfasis particular en esta expectativa de cumplimiento continuo.

Cómo aligerar tu carga de SAQ

Lo único más impactante que puedes hacer por tu cumplimiento PCI es simplificar tu SAQ reduciendo el alcance. Cada sistema, proceso y persona que toca datos de tarjeta suma preguntas a tu evaluación y controles a tu entorno.

Pasos prácticos para moverte hacia un SAQ más sencillo:

• Usa páginas de pago alojadas para transacciones en línea en vez de procesar datos de tarjeta en tus propios servidores
• Implementa enmascaramiento DTMF para pagos telefónicos para que los agentes nunca se topen con datos de tarjeta — esto puede moverte del SAQ C-VT o SAQ D al SAQ A
• Usa terminales P2PE para pagos presenciales y califica para el SAQ P2PE de bajo peso
• Deja de almacenar datos de tarjeta si no hay una necesidad real de negocio — usa tokenización en su lugar

Cubrimos las estrategias de reducción de alcance a detalle en el Módulo 5: Reducción del alcance de tu entorno PCI.

Puntos clave

• Un SAQ es la forma en que la mayoría de negocios valida el cumplimiento PCI DSS — es una autoevaluación anual adaptada a tu montaje específico de pagos
• Hay varios tipos de SAQ (A, A-EP, B, B-IP, C, C-VT, D y P2PE), cada uno para escenarios de pago distintos — elegir el correcto es esencial
• El SAQ A es el más simple con 22 preguntas, disponible para negocios que tercerizan por completo el manejo de datos de tarjeta. El SAQ D es el más exigente con 326 preguntas, cubriendo los 12 requisitos de PCI DSS
• El SAQ para el que calificas depende de cómo fluyen los datos de tarjeta por tu negocio — no solo de si los almacenas, sino de si tus sistemas o personal los encuentran en algún punto
• Reducir el alcance es la clave para un SAQ más simple — tecnologías como las páginas de pago alojadas, el enmascaramiento DTMF y P2PE pueden bajar mucho tu carga de cumplimiento
• El cumplimiento es continuo — mantén los controles que atestiguaste durante todo el año, no solo al momento de la evaluación