Webinaire à la demande bientôt disponible…

Blog

Qu’est-ce qu’un questionnaire d’auto-évaluation PCI DSS ?

Les questionnaires d’auto-évaluation permettent d’évaluer et de prouver sa conformité au regard de la norme PCI DSS. Découvrez le questionnaire d’auto-évaluation qui convient à votre organisation.

Katrina Dalao
Sr. Content Marketing Specialist, CIPM
15 juin 2023

Deux avocates discutent sur l’escalier extérieur d’un tribunal.

Sommaire

Si votre organisation traite des données de titulaires de carte de paiement, quelque soit leur type, vous avez probablement entendu parler des questionnaires d’auto-évaluation (ou SAQ - Self-Assessment Questionnaires). 

Un questionnaire d’auto-évaluation (ou SAQ) est un rapport officiel de la conformité d’une organisation au regard de la norme de sécurité des données du secteur des cartes de paiement (PCI DSS ou Payment Card Industry Data Security Standard). Il évalue si un commerçant ou un prestataire de service a pris les mesures nécessaires pour sécuriser les données des titulaires de cartes et documente sa posture de sécurité globale.

Le processus de renseignement des SAQ varie selon les types d’organisations. Il existe neuf types différents de SAQ parmi lesquels choisir, en fonction de votre processus de paiement et de l’environnement des titulaires de cartes.

Ci-dessous, nous donnerons des explications sur chaque type de SAQ, ce que cela implique et comment identifier celui qui convient à votre organisation. 

 

Qu’est-ce qu’un questionnaire d’auto-évaluation PCI DSS (ou SAQ) ?

Un questionnaire d’auto-évaluation (ou SAQ) de la norme PCI DSS (Payment Card Industry Data Security Standard) est un outil de validation conçu pour aider les commerçants et les prestataires de services à évaluer et à faire part de leur conformité au regard de la norme PCI DSS. 

Chaque SAQ commence par une section « Avant de commencer » qui décrit le type d’environnement du titulaire de carte couvert par le questionnaire en question. Elle est suivi par une série de questions fermées (oui/non) sur tous les aspects des traitements effectués sur les cartes de paiement et sur les mesures de contrôle de sécurité de l’organisation, en englobant la sécurité du réseau, la configuration du système, le contrôle des accès, etc.

Les SAQ comprennent également une attestation de conformité, qui tient lieu de déclaration officielle de conformité pour l’organisation par rapport aux exigences de la norme PCI DSS. 

Pour résumer, un SAQ complet comprend trois sections : 

  • Section 1 : informations sur l’évaluation et executive summary (parties 1 et 2 de l’attestation de conformité)

  • Section 2 : questionnaire d’auto-évaluation PCI DSS

  • Section 3 : informations de validation et sur l’attestation et plan d’action pour résoudre les non conformité, le cas échéant (parties 3 et 4 de l’attestation)

Les SAQ sont disponibles en ligne ou au format PDF téléchargeable.

 

Qui doit remplir un questionnaire d’auto-évaluation PCI DSS ?

Les auto-évaluations ne concernent pas toutes les organisations. Seuls les commerçants et les prestataires de services dont le volume de transactions est inférieur à un certain seuil, à savoir moins de 6 millions de transactions annuelles par carte de paiement pour les commerçants et moins de 300 000 pour les prestataires de services, peuvent soumettre un SAQ pour démontrer qu’ils sont conformes à la norme PCI DSS.

Les organisations qui gèrent un plus grand nombre de transactions par an doivent soumettre un rapport de conformité plus approfondi (ROC - Report On Compliance). 

Renseignez-vous pour en savoir plus sur les différents niveaux de commerçants et de prestataires de service, selon la norme PCI DSS. 

Pour plus d’informations, les organisations peuvent également consulter leur banque ou leur marque de paiement pour déterminer si elles sont éligibles à soumettre un SAQ et lequel est adapté.

 

Quel PCI pour votre entreprise ?

Il existe neuf types de SAQ PCI DSS : huit pour les commerçants et un pour les prestataires de services.* Pour déterminer celui qui convient le mieux à votre organisation, deux facteurs doivent être pris en compte : le fait vous soyez un commerçant ou un prestataire de service et votre processus de traitement des paiements par carte.

Lisez les explications suivantes pour déterminer le type de SAQ qui convient pour votre organisation : 

 

SAQ A

Pour les commerçants qui gèrent les paiements par carte dématérialisés (e-commerce ou commande par courrier/téléphone) et qui ont entièrement externalisé toutes les fonctions liées aux données des titulaires de cartes à des prestataires de services tiers qui respectent la norme PCI DSS, sans stockage, traitement ni transmission électroniques de données des titulaires de cartes sur les systèmes ou les sites du commerçant. Ne s’applique pas aux processus en personne. 

 

SAQ A-EP

Pour les commerçants en e-commerce qui externalisent toutes les opérations liées au traitement des paiements à des tiers validés PCI DSS et qui disposent d'un site web qui ne reçoit pas directement les données des titulaires de carte, mais qui peut avoir un impact sur la sécurité de la transaction. Aucun stockage, traitement ou transmission électronique des données des titulaires de carte dans les systèmes ou les locaux du commerçant. Applicable uniquement au commerce électronique.

 

SAQ B

Pour les commerçants utilisant uniquement : des machines qui prennent une empreinte sans stockage électronique des données des titulaires de cartes et/ou des terminaux d'appel autonomes sans stockage électronique des données des titulaires de cartes. Non applicable au commerce électronique.

 

SAQ B-IP

Pour les commerçants qui utilisent uniquement des terminaux de paiement avec code PIN autonomes respectant la norme PCI PTS avec une connexion IP vers le prestataire de paiement, sans stockage électronique des données des titulaires de carte. Non applicable au commerce électronique.

 

SAQ C-VT

Pour les commerçants qui saisissent manuellement une seule transaction à la fois par l’intermédiaire d’un clavier dans une solution de terminal de paiement virtuel basée sur Internet qui est fournie et hébergée par un fournisseur de service tiers validé PCI DSS. Pas de stockage électronique des données des titulaires de cartes. Non applicable au commerce électronique.

 

SAQ C

Pour les commerçants disposant de systèmes d’application de paiement connectés à Internet, sans stockage électronique des données des titulaires de carte. Non applicable au commerce électronique.

 

SAQ P2PE-HW

Pour les commerçants qui utilisent uniquement des terminaux de paiement inclus et gérés par l’intermédiaire d’une solution avec chiffrement point à point validée et répertoriée PCI SSC-P2PE, sans stockage électronique des données des titulaires de carte. Non applicable aux commerçants en e-commerce.

 

SAQ D

SAQ D pour les commerçants : pour tous les commerçants qui ne font pas parties des catégories décrites ci-dessus.

SAQ D pour les prestataires de services : pour tous les prestataires de services définis par une marque de paiement comme étant éligibles pour remplir un SAQ.

* Ces informations proviennent directement de pcisecuritystandards.org

 

Flow chart depicting which SAQ best apply to environment

Télécharger le PDF complet

 

Comment soumettre son SAQ PCI DSS ?

En général, les organisations doivent soumettre leur SAQ à leur banque ou à leur marque de cartes de paiement. Il est préférable de vérifier si celles-ci ont des instructions spécifiques sur la manière de soumettre le questionnaire ou tout autre document ou preuve supplémentaire.

Une fois que vous avez renseigné le SAQ et recueilli toutes les pièces justificatives demandées (par exemple une attestation de conformité), soumettez tous ces éléments à votre banque ou à la marque de votre carte de paiement et attendez sa réponse. En général, la soumission se fait en téléchargeant les documents via un portail en ligne ou en utilisant une méthode de transfert de fichiers sécurisée.

Si votre SAQ est jugé satisfaisant, vous recevrez une confirmation de votre conformité à la norme PCI DSS. En cas de problèmes ou de non-conformités, vous devrez les résoudre en fournissant des éclaircissements ou des informations supplémentaires si nécessaire.

 

Comment OneTrust vous aide dans votre démarche de conformité à la norme PCI DSS

Si vous avez besoin de plus d’informations sur la façon de sélectionner le questionnaire d'auto-évaluation PCI DSS adapté à votre organisation, OneTrust est là pour vous aider. Notre solution pour automatiser la conformité vous aide à déterminer les exigences qui vous concernent, à identifier les failles de sécurité et à remplir les SAQ requis.

Avec OneTrust Compliance Automation, vous pouvez créer, faire croître et automatiser votre programme de conformité en matière de sécurité, réduire vos coûts liés à la conformité jusqu'à 60 % et obtenir des certifications 50 % plus vite.  

Autres ressources pertinentes

Recherches fréquentes

Ressources

Plateforme

Notre entreprise

Nous contacter

La protection de la vie privée est importante

Notre centre de protection de la vie privée vous permet de voir facilement comment
nous recueillons et utilisons vos informations.

La protection de vos données personnelles

Lorsque nous recueillons des données personnelles vous concernant, nous vous informons toujours de vos droits et vous donnons les moyens de les exercer. Quand cela est possible, nous vous permettons également de gérer vos préférences quant à la quantité d’informations que vous choisissez de partager avec nous ou avec nos partenaires.

© {{CURRENT_DATE}} OneTrust, LLC. Tous droits réservés.

Webinaire à la demande bientôt disponible…

Nos politiques

Vos droits