お問い合わせ

03-5719-7533

PCI DSS SAQ(自己問診票)とは

PCI DSS SAQ(自己問診)とは

各ブランドの制定したレベルと基準に従い、事業体は該当レベルのSAQ(自己問診)の項目を適切に満たす事でPCI DSSに準拠することができます。
*範囲や該当要件については、アクワイアラとの合意が必要になる場合があります。

SAQ(自己問診票)タイプ別概要

SAQ
タイプ		 対面・非対面 カード会員データの取扱い 方法
A 非対面(電子商取引、通信販売)のみ
*対面式には適用されない		 電子形式で保存、処理、伝送しない
*紙のみ保存/データで受信しない。		 すべてPCI DSS認定の外部に委託
A-EP 電子商取引のみ 電子形式で保存、処理、伝送しない
*紙のみ保存/データで受信しない。		 電子商取引の支払チャネルを PCI DSS 認定の外部に部分的に委託
B 対面・通信販売のみ
*電子商取引には適用されない		 保存しない。
*紙のみ保存/データで受信しない。		 処理はインプリンタまたはスタンドアロン型ダイアルアップ端末のみ。インプリンタのみ使用か、伝送はスタンドアロン型ダイアルアップ端末(電話回線によって処理装置に接続)のみ。
B-IP 対面・通信販売のみ
*電子商取引には適用されない		 保存しない。
*紙のみ保存/データで受信しない		 スタンドアロン型 PTS 承認の加盟店端末装置 (POI) (SCR を除く)のみ使用し処理、伝送
C 対面・通信販売のみ
*電子商取引には適用されない		 保存しない。
*紙のみ保存/データで受信しない。		 POS (売時点情報管理)システムまたはインターネットに接続されているその他のペイメントアプリケーションシステム経由で処理、伝送
C-VT 対面・通信販売のみ
*電子商取引には適用されない		 保存しない。
*紙のみ保存/データで受信しない。		 インターネットに接続されたパーソナルコンピュータ上にある隔離された仮想端末のみによって処理、伝送
D 他のSAQタイプに当てはまらない全ての加盟店 自社のWebサイトで承認、保存。保存しないが他のSAQのタイプを満たさない、等々。 -
P2PE 対面・通信販売のみ
*電子商取引には適用されない		 保存しない。
*紙のみ保存/データで受信しない。		 全てP2PEソリューションに適合した加盟店端末装置(POI)のみを使用し処理、伝送

SAQ(自己問診票)の詳細についてはPCI SSCの公式サイトで確認する事ができます。

SAQの作成には、ネットワーク構成やサーバ管理、情報セキュリティ全般に関する正確な理解が求められます。以下の点にご注意ください。
・SAQタイプの選定ミス(適用されないタイプを選択している)
・実際の運用とかけ離れた記述
・都合の良い解釈による要件対応

これらは、準拠とみなされない可能性や、将来的なリスクにつながる恐れがあります。
また、SAQ AOC(準拠証明書)には事業者責任者の署名が必要であり、準拠の証明と責任は、自社にあることを理解しておく必要があります。

ICMSソリューションズではQSA(PCI SSC認定セキュリティ評価機関)によるSAQ作成支援、QSAが署名するSAQ AOCサービスなどSAQをサポートしています。
ご相談やお見積りなど、お気軽にお問い合わせください。

SAQ(自己問診票)策定支援サービス

お問い合わせは
ICMSソリューションズへ

お問い合わせ お問い合わせ

  • お問い合わせはこちらから

  • お電話からのお問い合わせはこちらから

ページの先頭へ