Cumplimiento de SAQ-A

Los negocios y proveedores de servicios de pago utilizan cuestionarios de autoevaluación (SAQ) para evaluar sus requisitos de cumplimiento de PCI. Para obtener más información sobre los SAQ, consulte Descripción de los SAQ para DSS de PCI versión 3.

SAQ-A impone el nivel más bajo de obligación para el cumplimiento de PCI en el negocio, cuando la administración de los datos confidenciales de PCI está a cargo de un tercero como Mastercard Payment Gateway. Según lo establecido por PCI, los negocios de SAQ-A pueden ser negocios de comercio electrónico o de pedido por correo/teléfono (MOTO) (tarjeta no presente), y no almacenan, procesan ni transmiten datos de ningún titular de tarjeta en formato electrónico en sus sistemas ni en sus instalaciones.

Soporte de motor de pagos para cumplimiento de SAQ-A

El motor de pagos no le obliga a cumplir con SAQ-A; sin embargo, proporciona funcionalidad para ayudarle a cumplir con su obligación de SAQ-A. El soporte está disponible tanto para las integraciones de API como para la UI del negocio (aplicación Administración de negocios).

Como requisito, su proveedor de servicios de pago debe permitirle cumplir con SAQ-A (ya sea a través de la UI, API o ambos).

Cumplimiento de SAQ-A a través de la UI del negocio

Si elige el cumplimiento de SAQ-A a través de la UI, el motor de pagos le impedirá crear pedidos MOTO (correo/teléfono) mediante el ingreso de datos de las tarjetas en las pantallas de entrada de pedidos. Estas pantallas estarán deshabilitadas.

Para admitir el cumplimiento de SAQ-A, el privilegio "Ver identificadores de cuentas sin enmascarar" no debe estar habilitado para el usuario de la UI.

Cumplimiento de SAQ-A a través de API

Si elige el cumplimiento de SAQ-A a través de la API, el motor de pagos rechazará transacciones que incluyan directamente datos confidenciales de PCI, como el número de tarjeta. Entonces, puede incluir un contenedor para los datos del titular de la tarjeta, como una sesión de pago o un token, en vez de los datos de la tarjeta.

Cuando se utiliza una sesión de pago con la integración de Hosted Session, admite el cumplimiento de SAQ-A. También puede optar por integrar usando Hosted Checkout, donde el motor de pagos maneja los datos del titular de la tarjeta por usted.

Si va a integrar mediante Batch, los lotes que contengan PAN sin enmascarar serán rechazados.

El motor de pagos también enmascarará los PAN en la respuesta de transacción. Si solicita que se devuelvan PAN sin enmascarar en la respuesta, el motor de pagos devolverá un error para admitir el cumplimiento de SAQ-A.