SAQ CONCEPTOS Y DEFINICIONES

Agenda
¿Qué es SAQ?
Por sus siglas en ingles SAQ (Self Assessmet Questionnaires), que en su traducción es Cuestionario
de Auto-Evaluación, en el cual el propio comercio o proveedor de servicios puede demostrar su
cumplimiento mediante una auto-evaluación de los mismos y una confirmación que dicho trabajo
se ha realizado siguiendo las indicaciones de PCI SSC.
 Agenda
Tipos de Auto-Cuestionario SAQ
EL PCI SSC en la versión 3.2 de PCI DSS ha definido 9 cuestionarios de Auto-evaluación. Los cuales
veremos a continuación, y veremos como son definidos de acuerdo a nuestro nicho de negocio,
tanto si somos comercios como si somos proveedores
 Agenda

• Corresponde a comercios que han delegado

todas las funciones relacionadas con
tarjetas de pago en un tercero validado en
PCI DSS

• Se encuentran todos aquellos que gestionan

transacciones no presenciales (comercio
electrónico y/o pagos por teléfono o correo)
y que no almacenan, procesan o transmiten
ningún dato de tarjeta de pago en formato
electrónico en sus sistemas o instalaciones.
 Agenda

• Corresponde a comercios que han delegado

PARCIALMENTE las funciones relacionadas
con tarjetas de pago en un tercero validado
en PCI DSS

• Se encuentran todos utilizan comercio

electrónico como canal de pagos y cuyo sitio
web no recibe datos de tarjetas de pago
pero puede afectar la seguridad de la
transacción y/o de la integridad de la página
que acepta los datos de tarjeta de pago
provenientes del cliente
 Agenda

• Corresponde a comercios que procesan datos tarjetas de pago únicamente por

medio de máquinas impresoras o terminales independientes con discado externo
• Son comercios que procesen transacciones presenciales y que no almacenan datos
de tarjetas de pago en ningún sistema informático.
 Agenda

• Corresponde a comercios que procesan

datos tarjetas de pago únicamente por
medio de dispositivos de punto de
interacción (point-of-interaction (POI))
aprobados por PCI PTS y con una
conexión IP a un procesador de pagos.
• Son comercios que procesen
transacciones presenciales o pagos por
teléfono o correo (tarjeta no presente) y
que no almacenan datos de tarjetas de
pago en ningún sistema informático.
 Agenda

• Corresponde a comercios cuya aplicación de pago (por ejemplo, un sistema de punto de

venta) está conectada a Internet (por ejemplo, a través de DSL, cable módem, etc.).
• Son comercios que procesan datos de tarjeta de pago empleando una terminal de punto de
venta (TPV/POS) u otros sistemas de aplicación para pagos conectados a Internet.
• Además no almacenan datos de tarjetas de pago en ningún sistema informático.
 Agenda

• Corresponde a comercios que procesan

datos de tarjetas de pago únicamente a
través de una terminal de pago virtual
aislada en un ordenador personal
conectado a Internet.
• Son comercios que deben ingresar
manualmente una transacción a la vez
empleando un teclado y una terminal
virtual de pago conectada a Internet.
• Además no almacenan datos de tarjetas
de pago en ningún sistema informático.
 Agenda

• Corresponde a comercios que elegibles

que no concuerdan con ninguno de los
criterios de elección descritos en los
anteriores tipos de SAQ.
• Son comercios que por ejemplo que
usan canales de comercio electrónico
que aceptan datos de tarjetas de pago
en su propio sitio web
 Agenda

• Corresponde a todos aquellos

proveedores de servicio definidos por
las marcas de pago como elegibles para
reportar su cumplimiento empleando
un SAQ.
 Agenda

• Corresponde a todos aquellos comercios

que están empleando terminales de
pago de hardware incluidas y
gestionadas por un proveedor
certificado P2PE, sin almacenamiento
electrónico de datos de tarjetas de pago
 Para mayor información:
Bogotá 704 24 00
Resto del país y en el exterior 018000182400
Móvil 315 273 0218
317 674 5298
311 540 0921
Email: mipci@Identian.co