PCI-DSS SAQ 合规介绍

介绍

PCI DSS SQS 全称是 Self-Assessment Questionnaires (SAQs)，顾名思义，它是用来自我评估的，面向两种实体：

• 商家
• 服务提供商

SAQ 分好几种类型，它们是：

A、A-EP、B、B-IP、C-VT、C、P2PE-HW

其中, SAQ A, 只有 22 个问题, SAQ A-EP 比 SAQ A 要求更高，虽然都是把顾客引导到通过 PCI DSS 的第三方，可以用下面的比喻来理解。

SAQ A （简单版网店） 想象你有一个非常简单的网上商店。当顾客想要买东西时，你的网站只是一个商品目录。顾客选好东西后，你直接把他们带到另一个完全独立的支付网站（比如支付宝）。你的网站不存储、不处理、也不传输任何信用卡信息。就像你只是给顾客指路，说”要付钱的话请到那边去”。

SAQ A-EP （稍复杂版网店） 现在想象你有一个更复杂的网上商店。顾客在你的网站上浏览商品，把东西放入购物车。当他们要付款时，你的网站会显示一个支付页面，但这个页面其实是从一个安全的支付公司那里”借来”的。虽然信用卡信息直接发送给支付公司，不经过你的服务器，但因为支付页面看起来像是你网站的一部分，所以你需要格外小心，确保你的网站非常安全，不会被坏人利用来骗取顾客的信用卡信息。

具体的区别如下表：

也就是说，如果你的网站控制了支付页面的呈现方式，但实际的支付处理仍由第三方完成，那么你可能需要 SAQ A-EP ，甚至 SAQ D ，比如如果你自己做支付页面，或者你放一段 JS 代码来创建支付页面。但如果是把支付页面完全放在 iframe 里，或者直接就跳转到符合 PCI DSS 的第三方支付页面去，那么只要通过 SAQ A 即可。

这里重点再说说 SAQ A。

通过商家 UI 的情况

如果你要创建 MOTO （邮购/电话）订单，那么你不可以允许屏幕 UI 可以输入信用卡号码，你甚至不可以通过“查看隐藏”来展示隐藏显示的信用卡号码，总之就是任何情况都不能看到。

通过 API 的情况

如果通过 API 你传递了信用卡号，这是禁止的，网关会拒绝，你只能通过付款会话或令牌的方式来代替持卡人信息。

其他几种类型用途较少：

SAQ B （小型实体店） 想象你有一个小商店，使用一个独立的刷卡机。你只接受刷卡支付，不在电脑上处理任何信用卡信息。就像一个只用传统收银机的小杂货店。

SAQ B-IP （现代化小店） 你的店铺升级了，现在使用连接互联网的 POS 机。这就像一个使用平板电脑作为收银机的咖啡店，可以通过网络处理支付。

SAQ C-VT （家庭办公室） 你在家里经营小生意，使用银行提供的网页来手动输入客户的信用卡信息。这就像一个在家接单的小型外卖服务，通过安全网页处理订单支付。

SAQ C （中型网店） 你有一个较大的网上商店，直接在你的系统中处理支付信息。这就像一个综合性的网上商城，能够自己处理订单和支付，但不存储客户的信用卡信息。

SAQ P2PE-HW （高科技实体店） 你的店铺使用最先进的加密支付设备。当顾客刷卡时，信息立即被加密，你完全看不到任何信用卡数据。这就像一个使用特殊保险箱的珠宝店，店员只能把东西放进去，但无法打开或看到里面的内容。

SAQ D （超级保险库）

适用于那些直接处理、传输或存储大量信用卡信息的商户或服务提供商。这些公司需要遵守最严格的安全标准，因为他们掌握着最敏感的数据。

简单总结： B 是最基础的实体店刷卡。 B-IP 是联网的现代 POS 机。 C-VT 是通过安全网页手动输入卡信息。 C 是能自己处理支付的较大网店。 P2PE-HW 是使用高度加密设备的店铺，提供最高级别的安全保护。 D 是适用于直接处理、传输或存储大量信用卡数据的大型商户或服务提供商，要求最严格的安全措施。

问题的数量

• SAQ A: 22 个问题
• SAQ B-IP: 41 个问题
• SAQ C-VT: 79 个问题
• SAQ D: 329 个问题

合规级别

PCI 针对客户的交易量分了4个级别 ，只有最高的级别不需要 SAQ ，其他级别每年都要提交 SAQ。

参考资料

• SAQ-A 合规
• 了解 PCI DSS 版本 3 的 SAQ
• Payoneer 驗證您的合規性
• Stripe PCI 合规指南
• PCI DSS 4.0: 它为商户带来了哪些机会？
• PCI Standards: Which PCI SAQ is Right for My Business?
• 我应该如何处理 SAQ?