Quiz SAQ PCI : Trouvez Votre SAQ en 2 Minutes
Vous n'êtes pas seul si la conformité PCI vous donne l'impression de jouer à la taupe avec la réglementation.
Votre prestataire de paiement vous envoie un e-mail : « Complétez votre questionnaire PCI SAQ annuel avant vendredi. » Vous cherchez "PCI SAQ" sur Google et trouvez cinq questionnaires différents—A, A-EP, B, C, D—chacun avec ses propres exigences.
L’un compte 22 questions. Un autre, 329. Vous n'avez aucune idée lequel vous concerne.
Want more from The Retail Exec?
Sign up for a free membership to complete reading this article:
Have an account? Log In
Si vous choisissez le mauvais, vous perdez des heures à répondre à des questions sans rapport. Pire, vous pourriez ignorer des contrôles essentiels—et vous exposer à des failles, des amendes, ou des sanctions de votre prestataire.
La solution ? Ce quiz.
Il vous interroge sur vos méthodes d'encaissement actuelles, la circulation des données de carte, et les systèmes impliqués. Deux minutes plus tard, vous obtenez votre type de SAQ, une explication claire, et une liste d’actions concrètes à mener.
Comment fonctionne ce quiz PCI SAQ
Le quiz analyse étape par étape votre environnement de paiement :
- Comment les clients saisissent leurs données de carte. Page de paiement hébergée ? Page de paiement sur votre site ? Terminal autonome ? Système de caisse sur votre réseau ? Terminal virtuel ? La réponse détermine la portée de base.
- Où circulent les données de carte. Vous préciserez quels systèmes manipulent les données de carte et si l’un d’eux les stocke (même temporairement). Le stockage change tout.
- Vérifications P2PE et saisie manuelle. Les terminaux validés P2PE réduisent considérablement la portée. La saisie manuelle au clavier dans un navigateur—même « seulement parfois »—l’élargit.
- Questions de vérification finale. Quelques questions oui/non pour traiter les cas particuliers et valider votre configuration.
- Votre résultat. Découvrez le type de SAQ qui vous concerne, pourquoi il correspond à votre activité, et votre liste de tâches concrètes pour être conforme sans perdre de temps.
Ce que vous obtenez avec votre résultat
- Votre type de SAQ précis. Plus besoin de deviner. Le quiz vous indique quel questionnaire remplir—A, A-EP, B, C ou D—en fonction de la façon dont vous encaissez réellement les paiements.
- Une explication claire et accessible. Vous comprenez pourquoi ce SAQ correspond à votre situation, et êtes capable de l'expliquer à votre prestataire, auditeur ou équipe sans réciter un manuel de conformité.
- Une liste d’actions concrètes. Étapes claires—segmenter votre réseau, passer à des champs hébergés, déployer P2PE—pour faire de la conformité un projet réalisable ce trimestre, sans y passer des mois.
- Un contexte pour aller plus loin. Nouveau sur la conformité PCI ? Nous proposons un lien vers notre guide sur la conformité PCI pour les petites entreprises pour comprendre les raisons derrière chaque exigence.
Définitions rapides des SAQ—À quoi correspond chaque type ?
SAQ A — Les données de carte ne touchent jamais vos systèmes
Paiement e-commerce ou abonnements entièrement hébergés. Votre site redirige le client vers une page de paiement ou utilise une iframe prise en charge intégralement par le prestataire. Vos systèmes ne voient, ne traitent, ni ne stockent jamais les données de carte.
SAQ A-EP — Votre site héberge des composants de paiement
Votre site héberge des pages de paiement, scripts JavaScript, ou d'autres scripts susceptibles d'influencer le parcours de paiement. Plus de contraintes qu’un SAQ A car votre infrastructure intervient dans le processus de paiement—même sans stocker les données de carte.
SAQ B — Uniquement terminaux téléphoniques
Terminaux autonomes qui communiquent via une ligne téléphonique, ou imprimantes à empreinte à l’ancienne. Aucune connexion internet à votre réseau signifie une portée très limitée.
SAQ C — Terminaux IP autonomes
Terminaux de paiement connectés à internet mais isolés de votre réseau d’entreprise. Courant dans le commerce physique avec des systèmes de caisse segmentés. Aucun stockage des données de carte.
SAQ D — Tout le reste
Parcours de paiement sur mesure, stockage de données de carte, ou périmètre réseau large où plusieurs systèmes peuvent accéder aux paiements.
C’est le plus complet—329 questions couvrant l’ensemble de votre environnement.
Erreurs courantes qui vous placent dans le mauvais SAQ
- Supposer que vous êtes SAQ A lorsque vous intégrez des champs de paiement. Les iFrames et les redirections hébergées peuvent être éligibles au SAQ A — mais si votre page charge directement des champs de paiement (même via javascript), vous relevez probablement plutôt du A-EP. Le quiz clarifie rapidement cette distinction.
- Laisser le personnel saisir des cartes dans un navigateur — même « seulement parfois ». Un responsable de magasin qui saisit des données de carte dans un terminal virtuel sur un ordinateur portable non contrôlé élargit votre périmètre PCI. Corrigez le flux de travail grâce à des terminaux adaptés ou une configuration de terminal virtuel verrouillée.
- Négliger la P2PE. Les dispositifs de chiffrement point à point signifient que les données de carte sont chiffrées dès le terminal et le restent jusqu’à ce qu’elles atteignent votre processeur. Les terminaux validés P2PE réduisent considérablement le périmètre — demandez à votre fournisseur.
- Mélanger des systèmes sur un réseau plat. Des terminaux point de vente sur le même réseau que vos postes administratifs, le WiFi et d'autres appareils ? Cela augmente le périmètre. Segmentez votre réseau pour isoler les systèmes de paiement. C’est moins de travail que vous ne le pensez et cela vous évite bien des soucis d’audit plus tard.
- Ignorer les paiements mobiles. Si vous prenez des commandes par téléphone et saisissez les cartes dans un terminal virtuel, cela compte. Si votre application traite des paiements, cela compte aussi. Le quiz prend ces situations en compte.
Prochaines étapes après avoir obtenu votre résultat
Si vos ressources sont limitées, utilisez la checklist du quiz avec notre guide Conformité PCI pour les petites entreprises.
Vous avancerez étape par étape sans devoir engager de consultant, tant que ce n'est pas nécessaire.
Si vous êtes en train de changer de plateforme ou de mettre à niveau vos systèmes, privilégiez les fournisseurs proposant des champs hébergés et la prise en charge de la P2PE.
Notre comparaison des meilleurs fournisseurs de passerelles de paiement indique quelles plateformes facilitent la conformité — et lesquelles sont source de tracas.
Si le quiz vous oriente vers SAQ D, ne paniquez pas.
Oui, c’est le questionnaire le plus long, mais beaucoup d’entreprises commencent par celui-là puis réduisent ensuite leur périmètre.
Mettez en place des terminaux P2PE, passez à un paiement hébergé pour l’e-commerce, et segmentez vos réseaux. En quelques mois, vous pourriez être admissible à un SAQ plus simple — et économiserez du temps et de l’argent sur les audits à venir.
Pourquoi c’est plus important que la plupart des commerçants ne le pensent
La PCI ne consiste pas seulement à éviter les amendes — même si celles-ci montent vite. Il s’agit de protéger votre entreprise contre les coûts d’une faille, qui s’élèvent en moyenne à 200 $ par carte compromise selon les données du secteur.
Une faille dans un commerce de taille moyenne acceptant 500 cartes par mois pourrait coûter 100 000 $ en analyses, notifications, réémission de cartes et atteinte à la réputation de votre marque.
Le bon SAQ vous permet de vous concentrer sur les contrôles qui réduisent réellement le risque, au lieu de cocher des cases sur des exigences hors de propos. C’est la différence entre perdre une semaine sur le mauvais questionnaire et terminer la conformité en une après-midi avec une checklist claire.
Passez le quiz maintenant — deux minutes pour connaître votre SAQ, puis agir en conséquence.