Mediante il percorso guidato del presente modulo, sarà possibile determinare se, per attestare la conformità a PCI DSS 3.2, la sua azienda dovrà predisporre un Self Assessment Questionnaire (SAQ), e di quale tipologia, o un Report on Compliance (ROC). Il risultato presentato è comunque indicativo poiché i quesiti indicati potrebbero non essere interamente compresi o applicabili e non può e non vuole sostituirsi all'esclusivo giudizio di un Qualified Security Assessor (QSA). Per maggiore sintesi, "i dati delle carte di pagamento dei Clienti" sono abbreviati in CHD (cardholder data)
Tipologia di attività svolta:
L'azienda, per la vendita di prodotti o servizi propri e/o acquisiti da terzi, memorizza, elabora o trasmette i CHD.
L'azienda, a qualsiasi titolo, supporta la propria clientela per la memorizzazione, elaborazione o trasmissione dei CHD.
Selezionare la condizione che meglio descrive il processo di trattamento dei dati delle carte:
- macchinette stampigliatrici manuali, in assenza di memorizzazione dei dati in formato elettronico
- terminali dial-out isolati, in assenza di memorizzazione dei dati in formato elettronico
Nel caso sia stata scelta la tipologia di attività A), indicare il numero di transazioni dell'ultimo anno effettuate con le carte di pagamento per i singoli brand:
Più di 2,5 milioni di transazioni con American Express;
Più di 6 milioni di transazioni con Visa;
Più di 6 milioni di transazioni con Mastercard;
Nessuno dei casi precedenti, il volume di transazioni è inferiore a quanto indicato nei punti precedenti
Nel caso sia stata scelta la tipologia di attività B), indicare il numero di transazioni dell'ultimo anno effettuate con le carte di pagamento per i singoli brand:
Più di 2,5 milioni di transazioni con American Express;
Più di 300.000 transazioni con Visa;
Più di 300.000 transazioni con Mastercard;
Nessuno dei casi precedenti, il volume di transazioni è inferiore a quanto indicato nei punti precedenti
Il vostro posizionamento
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Report on Compliance (ROC) poiché ricadente nella categoria di esercenti di Livello 1. La valutazione della conformità e la redazione di un ROC, devono essere obbligatoriamente svolte da un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment, interno ed esterno, scansioni trimestrali per la rilevazione di reti wireless non autorizzate e un Penetration Test annuale interno ed esterno. Le attività di Vulnerability Assessment che interessano il perimetro esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo A poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ A, è suggerito il supporto di un Qualified Security Assessor (QSA).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo A-EP poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ A-EP, è suggerito il supporto di un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment e Penetration Test esterni. Le attività di Vulnerability Assessment esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo B poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ B, è suggerito il supporto di un Qualified Security Assessor (QSA).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo B-IP poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ B-IP, è suggerito il supporto di un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment esterno. Le attività di Vulnerability Assessment esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo C poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ C, è suggerito il supporto di un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment, interno ed esterno, scansioni trimestrali per la rilevazione di reti wireless non autorizzate e un Penetration Test interno annuale. Le attività di Vulnerability Assessment che interessano il perimetro esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo C-VT poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ C-VT, è suggerito il supporto di un Qualified Security Assessor (QSA).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo D poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ D, è suggerito il supporto di un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment, interno ed esterno, scansioni trimestrali per la rilevazione di reti wireless non autorizzate e un Penetration Test annuale interno ed esterno. Le attività di Vulnerability Assessment che interessano il perimetro esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Service Provider e deve predisporre un Report on Compliance (ROC) poiché ricadente nella categoria di service provider di Livello 1. La valutazione della conformità e la redazione di un ROC, deve essere obbligatoriamente supportata da un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment, interno ed esterno, scansioni trimestrali per la rilevazione di reti wireless non autorizzate e un Penetration Test annuale interno ed esterno. Le attività di Vulnerability Assessment che interessano il perimetro esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Service Provider e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo D poiché ricadente nella categoria di service provider di Livello 2 o 3. Per la valutazione della conformità e la redazione di un SAQ D, è suggerito il supporto di un Qualified Security Assessor (QSA). Inoltre, PCI DSS richiede che siano svolte attività trimestrali di Vulnerability Assessment, interno ed esterno, scansioni trimestrali per la rilevazione di reti wireless non autorizzate e un Penetration Test annuale interno ed esterno. Le attività di Vulnerability Assessment che interessano il perimetro esterno, devono essere obbligatoriamente svolte da un Approved Scanning Vendor (ASV).
In relazione ai punti selezionati, l’azienda assume il ruolo di Merchant e deve predisporre un Self Assessment Questionnaire (SAQ) di tipo P2PE-HW poiché ricadente nella categoria di esercenti di Livello 2, 3 o 4. Per la valutazione della conformità e la redazione di un SAQ P2PE-HW, è suggerito il supporto di un Qualified Security Assessor (QSA).
Disclaimer
Il risultato dell'elaborazione delle risposte, ai quesiti posti nel presente modulo, è puramente indicativo. Data la complessità di talune condizioni operative, quanto determinabile dalle risposte selezionate costituisce la base informativa minima ed indispensabile per ottenere una prima indicazione del posizionamento nelle categorie previste da PCI DSS 3.2, poiché in questa sede non possono essere ricompresi la totalità degli scenari previsti dallo standard. Inoltre, il risultato prospettato non può e non vuole sostituirsi all'esclusivo giudizio di un Qualified Security Assessor (QSA).