Blog
dark mode light mode Search Archivos descargables
Search

PCI DSS: ¿Qué es SAQ, ROC y AOC?

hackmetrix_pci_dss_roc_saq_aoc

Formularios de evaluación que debes llenar según tu tipo de empresa 

¿En tu startup manejas datos de titulares o aceptas pagos de tarjetas de crédito y débito en línea? Es muy seguro que te tocará cumplir con PCI DSS. 

El estándar PCI DSS es una normativa internacional que ayuda en la protección de datos en industrias que manejan tarjetas de pago de crédito o débito. 

Sin embargo, para cumplir con sus requisitos debes llenar diferentes formularios de evaluación (SAQ o ROC) que varían en cantidad de requisitos dependiendo de la cantidad de transacciones y del nivel comercial que tenga tu empresa. 

En este artículo veremos los aspectos esenciales que necesitas saber sobre estos formularios de evaluación de PCI DSS y te ayudaremos a descifrar cuál de ellos es el que deberías completar según sea tu caso. 

¿Qué es un SAQ (Self-Assessment Questionnaire)? 

El cuestionario de autoevaluación o SAQ (Self-Assessment Questionnaire) es una herramienta con la que las empresas se autoevalúan desde el punto de vista de cumplimiento de los requisitos de PCI DSS. 

El SAQ reúne una serie de preguntas correspondientes a los requisitos del estándar PCI y así poder asistir en el proceso de evaluar su cumplimiento con respuestas de “sí” o “no” para cada punto.

Si leíste nuestro artículo sobre quiénes deben cumplir con PCI DSS, sabrás que las empresas deben cumplir con diferentes requisitos dependiendo de la cantidad de transacciones anuales y de la marca de pago que usen (Visa, Mastercard, American Express, Discover, JCB, etc.). 

Por ejemplo, deben llenar un SAQ todas las empresas que tengan un nivel 2, 3 o 4 de transacciones anuales y, además, utilicen Visa o Mastercard.

 tipos de cuestionarios de autoevaluación SAQ

Ahora bien, para los niveles 2, 3 y 4 existen diferentes tipos de cuestionarios de autoevaluación SAQ, existen el A, A-EP, B, B-IP, C, C-VT, P2PE, D y el D-SP. 

Suenas complejo, ¿no? Respira, para eso te preparamos el siguiente diagrama de flujo que te ayudará a elegir el SAQ que corresponda a tu caso. Puedes descargarlo desde este enlace para tenerlo a mano y/o compartirlo con tu equipo.

Ten en cuenta que puede que te toque llenar más de un SAQ, dependiendo de cómo proceses, transmitas y/o almacenes datos de titulares de tarjeta.

¿Qué es un ROC (Report on Compliance)? 

El reporte de cumplimiento o ROC (Report on Compliance) es un documento que elabora un auditor certificado por PCI DSS luego de evaluar a las empresas de nivel 1 según los requisitos de PCI DSS. 

Como notarás, la principal diferencia con el SAQ, es que el ROC se genera luego de una auditoría exhaustiva de cada requisito a manos del auditor (contrariamente a lo que sucede con cuestionario SAQ, donde la empresa se autoevalúa). 

Esto es porque en empresas con más de 6.000.000 transacciones anuales, el cuestionario de autoevaluación no es suficiente. PCI DSS establece que para este tipo de empresas es necesario realizar una revisión completa de los controles de PCI DSS y pedir mucha más evidencia. Por esto también, los tiempos de auditoría suelen ser mayores que en los demás casos.

¿Qué es un AOC (Attestation of Compliance)? 

Una atestación de cumplimiento o AOC (Attestation of Compliance) es un documento que da fe de los resultados de la evaluación. Afirma o testifica que todo lo dicho en el SAQ o ROC esté en cumplimiento. 

Por lo general, el AOC está dentro del mismo SAQ, ya que puede ser una última página. Allí es donde tu empresa debe firmar dando fe de la información declarada. 

Ten en cuenta que si algún tercero te lo pide, puede que también necesites la firma de un auditor profesional certificado por PCI DSS (también llamado QSA o Qualified Security Assessor). Por ejemplo, si estás cerrando algún cliente certificado por PCI DSS, es muy probable que te pida la firma de un auditor certificado para validar tu cumplimiento

Conclusión

Si quieres cumplir con PCI DSS, debes alinearte a diferentes requisitos dependiendo de la cantidad de transacciones anuales y de la marca de pago que utilice tu empresa.

Por ejemplo, si tu empresa se clasifica como una empresa de nivel 2, 3 o 4 seguramente debas llenar un cuestionario de autoevaluación (SAQ), mientras que, si se clasifica como una empresa de nivel 1, entonces deberás llenar un reporte de cumplimiento o ROC.

En ambos casos debes presentar los formularios con un AOC (atestación de cumplimiento) firmado por tu empresa y/o por un auditor certificado en caso de que un tercero te lo pida.

Si eres una empresa nivel 2, 3 o 4, debes saber que existen diferentes categorías de SAQ según el método de pago que tenga tu empresa. Sigue el flujo que te dejamos arriba para saber cual es el cuestionario que te corresponde a ti. 

Si tienes más dudas sobre este o cualquier otro framework de cumplimiento, estamos aquí para charlar sobre tu caso y resolver cualquier duda.

Hackmetrix newsletter ciberseguridad