Какие изменения произошли в вариантах опросников самооценки?

Какие изменения произошли в вариантах опросников самооценки?

Какие изменения произошли в вариантах опросников самооценки?

Изменения, затрагивающие предприятия электронной коммерции, сведены в таблицу:

№ п/п

Вариант SAQ

Критерии применимости

PCI DSS 2.0

PCI DSS 3.0

1

SAQ-А

Мерчанты, у которых все функции приема и обработки платежей отданы на аутсорсинг.

Мерчанты, у которых все функции приема и обработки платежей отданы на аутсорсинг. Отсутствует  хранение, обработка, передача данных карт.

2

SAQ-A-EP

-

Мерчанты, у которых функции обработки платежей отданы на аутсорсинг,  web-сайт которых не принимает данных карт напрямую, но может влиять на безопасность карточных транзакций. Отсутствует  хранение, обработка, передача данных карт.

3

SAQ-C

Мерчанты, эксплуатирующие систему обработки платежей с выходом в Интернет, хранение данных отсутствует.

Не применим к предприятиям электронной коммерции.

4

SAQ-D

Все остальные мерчанты, не попадающие под критерии других SAQ.

Все остальные мерчанты, не попадающие под критерии других SAQ.


Варианты SAQ-B, SAQ-B-IP, SAQ-P2PE-HW и SAQ-C-VT к предприятиям электронной коммерции не применимы. Как видно из таблицы, основных изменений два:
  1. SAQ-A разбит на два варианта, точнее из исходного SAQ-A выделен новый вариант SAQ-A-EP. Строгим критерием соответствия обоим вариантам, является то, что данные платежных карт не вводятся на сайте магазина, а сразу из браузера клиента направляются сервис-провайдеру. Различие заключается в технологии этого «направления». В соответствии с предложенными PCI критериями, SAQ-A могут заполнять мерчанты, сайт которых содержит прямую ссылку (URL), перенаправляющую покупателя на сайт сервис-провайдера для ввода карточных данных, либо перенаправление происходит с использованием технологии inline frame (iFrame). Все остальные варианты перенаправления (загрузка HTML-формы с сайта мерчанта, после заполнения которой данные отправляются сервис-провайдеру; выполнение программного кода (например, JavaScript) в браузере, управляющего процессом ввода данных) считаются небезопасными и мерчанты, использующие эти технологии, должны заполнять SAQ-A-EP.
  2. SAQ-C более не применим к предприятиям электронной коммерции. Поэтому, те интернет-магазины, которые принимали данные покупателя на своем сайте и затем, не сохраняя их у себя, незамедлительно отправляли сервис-провайдеру, и в силу этого заполняли SAQ-C, должны или изменить технологию обработки данных, привести ее в соответствии с критериями SAQ-A-EP, или заполнять SAQ-D.