En tant que commerçant, par quel type de questionnaire d'auto-évaluation suis-je concerné ?

Si un commerçant est habilité à utiliser les questionnaires d'auto-évaluation, le type de questionnaire à remplir dépend du type d'intégration et du traitement (ou non), par le commerçant, des numéros de cartes de crédit et d'autres données d'authentification sensibles (code CVC, Track 2, etc.)

Pour identifier le type de questionnaire qui le concerne, le commerçant doit contacter sa banque acquéreuse. Celle-ci lui fournira toutes les informations requises sur les exigences de validation PCI-DSS qui lui sont applicables. S'il est habilité à utiliser les questionnaires d'auto-évaluation et qu'il a accès aux données de cartes de crédit (numéro de carte, code CVC, notamment), la banque acquéreuse lui demandera de remplir le questionnaire SAQ-D.

En revanche, en ce qui concerne les commerçants qui n'ont aucun accès aux données des titulaires de cartes de crédit et qui sous-traitent la gestion des flux de paiement à un fournisseur de services ayant obtenu une certification de conformité à la norme PCI, la banque acquéreuse leur demandera vraisemblablement de remplir un questionnaire SAQ A ou SAQ A-EP.

Pour plus d'informations, consultez la page “Understanding SAQs for PCI DSS v3” (Présentation des questionnaires d'auto-évaluation pour la norme PCI-DSS v3).