Costo de cumplimiento de PCI DSS (SAQ A)

0

Me cuesta mucho encontrar / encontrar respuestas para determinar el costo de cumplir con las normas PCI DSS para SAQ A.

El sistema utilizará PayPal Express Checkout . Esto significa que debe ser elegible para SAQ A (es decir, el procesamiento de transacciones y datos del titular de la tarjeta se realiza en el servidor de PayPal).

Completar SAQ A es principalmente un ejercicio en papel y no se requiere una evaluación de vulnerabilidad de un ASV.

Es un cuestionario de autoevaluación para que yo pueda completarlo yo mismo, ¿verdad? Además, para SAQ A, nuestras marcas de pago y los adquirentes de pago nos obligan a enviar el SAQ completado como prueba de la validación de PCI DSS.

¿Esto significa que completo el documento y lo guardo hasta que sea necesario nuevamente?

No puedo ver dónde incurrió ningún costo. ¿Soy ingenuo? ¿Alguien puede arrojar alguna luz, por favor?

    
pregunta EasyR 18.01.2017 - 12:44
fuente

1 respuesta

3
  

El sistema utilizará PayPal Express Checkout. Esto significa que debería   ser elegible para SAQ A

No creo que * PayPal Express Checkout sea una implementación de iframe, por lo que no sería elegible para SAQ A, sino para SAQ A-EP, que tiene un número más importante de preguntas.

* Estoy abierto a ser corregido en este punto. Pero el comerciante es el que debe ser muy claro según DSS §12.8.5, que es parte de SAQ A.

  

Es un cuestionario de autoevaluación para que yo pueda completarlo yo mismo, ¿verdad?

Correcto.

  

¿Esto significa que completo el documento y lo guardo hasta que sea necesario otra vez?

Deberá actualizarlo y volverlo a certificar anualmente, de modo que tenga, y es posible que deba enviar a su procesador, un documento nuevo cada año. Y la firma en ella viene del "Oficial Ejecutivo Mercantil", así que, a menos que seas el Gran Jefe, estás llenando algo a lo que Big Boss tiene que poner su nombre.

Dado que es probable que la mayoría de las respuestas sigan igual, se espera que las investigues. Algunos de ellos tratan las prácticas anuales que se espera que realicen, como la supervisión del cumplimiento de PCI DSS de sus proveedores de servicios. Debería esperar revisar el documento cada año y verificar que aún es cierto, en lugar de simplemente desempolvarlo y alterar las fechas.

  

No puedo ver dónde incurrió ningún costo. ¿Soy ingenuo? ¿Alguien puede?   arrojar alguna luz, por favor?

  • El trabajo involucrado para hacerlo correcto es más extenso que el tono de tu pregunta sugiere que aprecias **.
  • El quid de la SAQ es la responsabilidad; el firmante es responsable de representar la verdad del cuestionario y, en caso de incumplimiento, es probable que las sanciones sean peores si se descubre que el SAQ es descuidado o engañoso.
El tono

** es difícil (leer y escribir) en el texto, y no se pretende que sea leve.

    
respondido por el gowenfawr 18.01.2017 - 16:39
fuente

Lea otras preguntas en las etiquetas