Non sei solo se la conformità PCI ti sembra una partita a "colpisci la talpa" normativa.
Il tuo processore di pagamenti ti invia un'email: "Completa il tuo SAQ PCI annuale entro venerdì." Cerchi su Google "SAQ PCI" e trovi cinque questionari diversi—A, A-EP, B, C, D—ognuno con requisiti differenti.
Uno ha 22 domande. Un altro ne ha 329. Non hai idea di quale sia quello giusto per te.
Scegli quello sbagliato e perdi ore a rispondere a domande irrilevanti. Peggio ancora, salti controlli di cui hai davvero bisogno—aprendoti a violazioni, multe o sanzioni dal processore.
La soluzione? Questo quiz.
Ti chiede come accetti pagamenti oggi, dove fluiscono i dati delle carte e quali sistemi li gestiscono. Dopo due minuti scopri il tuo tipo di SAQ, una spiegazione chiara e una checklist operativa.
Come Funziona Questo Quiz SAQ PCI
Il quiz analizza il tuo ambiente di pagamento in modo sistematico:
- Come i clienti inseriscono i dati della carta. Checkout ospitato? Pagina di pagamento sul sito? Terminale autonomo? POS sulla tua rete? Terminale virtuale? La risposta determina l'ambito di base.
- Dove fluiscono i dati della carta. Confermerai quali sistemi gestiscono i dati della carta e se qualcosa li memorizza (anche solo temporaneamente). La memorizzazione cambia tutto.
- Verifica P2PE e inserimento manuale. I terminali validati P2PE riducono drasticamente l'ambito. L'inserimento manuale della carta in un browser—anche "solo alcune volte"—lo amplia.
- Domande finali di verifica. Alcune domande sì/no per coprire casi particolari e confermare la tua configurazione.
- Il tuo risultato. Ottieni il tipo di SAQ, il motivo per cui si adatta alla tua attività e una lista concreta di azioni per conformarti senza perdere tempo.
Cosa Ottieni dal Tuo Risultato
- Il tuo esatto tipo di SAQ. Nessun dubbio. Il quiz ti dice quale questionario completare—A, A-EP, B, C o D—basato su come accetti davvero i pagamenti.
- Spiegazione chiara. Capirai perché questo SAQ è adatto alla tua situazione, così potrai spiegarlo a processore, revisore o al tuo team senza sembrare che stai leggendo un manuale di conformità.
- Checklist operativa. Passi concreti—segmenta la rete, passa a campi ospitati, implementa P2PE—che trasformano la conformità in un progetto realizzabile in questo trimestre invece di trascinarlo per mesi.
- Contesto per approfondimenti. Sei nuovo alla PCI? Colleghiamo alla nostra guida su conformità PCI per le piccole imprese così puoi capire il perché dietro ogni requisito.
Definizioni SAQ Rapide—Cosa Significa Ogni Tipo
SAQ A — I dati delle carte non toccano mai i tuoi sistemi
E-commerce completamente ospitato o fatturazione ricorrente. Il tuo sito reindirizza a una pagina di pagamento o usa un iframe in cui il fornitore gestisce tutto. I tuoi sistemi non vedono, elaborano o memorizzano mai i dati delle carte.
SAQ A-EP — Il tuo sito ospita elementi di pagamento
Il tuo sito ospita pagine di pagamento, JavaScript o script che possono influire sul flusso di checkout. Ambito più ampio rispetto all'SAQ A perché la tua infrastruttura entra in contatto con il processo di pagamento—anche se non memorizza dati della carta.
SAQ B — Solo terminali dial-out
Terminali autonomi che si collegano tramite linea telefonica oppure macchine di impronta tradizionali. Nessuna connessione Internet alla tua rete significa ambito minimo.
SAQ C — Terminali IP autonomi
Terminali di pagamento connessi a Internet ma isolati dalla rete aziendale. Comune nel retail con configurazioni POS segmentate. Nessuna memorizzazione di dati delle carte.
SAQ D — Tutto il resto
Flussi di pagamento personalizzati, qualunque memorizzazione di dati della carta o un ambito di rete ampio dove più sistemi possono accedere ai dati di pagamento.
Questa è l'opzione più ampia—329 domande che coprono l'intero ambiente.
Errori Comuni Che Ti Mettono nel SAQ Sbagliato
- Dare per scontato di poter usare SAQ A quando incorpori campi di pagamento. Gli iFrame e i reindirizzamenti ospitati possono qualificarsi per SAQ A, ma se la tua pagina carica campi di pagamento direttamente (anche tramite javascript), probabilmente dovrai usare A-EP. Il quiz lo chiarisce subito.
- Permettere allo staff di inserire i dati delle carte in un browser—anche “solo a volte”. Basta che un responsabile digiti i dati di una carta in un terminale virtuale da un portatile non controllato e la portata PCI si allarga. Correggi il flusso di lavoro con terminali adeguati o un setup di terminale virtuale bloccato.
- Saltare la P2PE. I dispositivi di cifratura point-to-point (P2PE) fanno sì che i dati della carta vengano crittografati già al terminale e rimangano cifrati fino all’arrivo al processore. I terminali validati P2PE riducono drasticamente la portata: chiedi informazioni al tuo fornitore.
- Mischiare diversi sistemi sulla stessa rete. Terminali POS sulla stessa rete delle postazioni amministrative, WiFi e altri dispositivi? Questa è una pericolosa estensione della portata. Segmenta la rete per isolare i sistemi di pagamento. È più semplice di quanto pensi e riduce molto lo stress degli audit futuri.
- Ignorare i pagamenti tramite dispositivi mobili. Se prendi ordini al telefono e inserisci le carte in un terminale virtuale, conta. Se la tua app gestisce i pagamenti, conta. Il quiz copre anche questi casi.
Prossimi Passi Dopo Aver Ricevuto il Tuo Risultato
Se hai risorse limitate, usa la checklist del quiz insieme alla nostra guida su conformità PCI per piccole imprese.
Procederai passo dopo passo senza bisogno di assumere un consulente finché non sarà realmente necessario.
Se stai cambiando piattaforma o aggiornando i sistemi, dai la priorità ai fornitori che offrono campi ospitati e supporto P2PE.
Il nostro confronto tra i migliori provider di gateway di pagamento mostra quali piattaforme facilitano la conformità e quali invece la complicano.
Se il quiz ti indirizza verso l’SAQ D, non andare nel panico.
Sì, è il questionario più lungo, ma molte aziende partono da lì e poi riducono gradualmente la portata.
Distribuisci terminali P2PE, passa al checkout ospitato per l’ecommerce e segmenta la rete. In pochi mesi potresti qualificarti per un SAQ più semplice—risparmiando tempo e soldi sugli audit futuri.
Perché È Più Importante di Quanto Pensino Molti Commercianti
La PCI non serve solo a evitare multe—che comunque si accumulano rapidamente. Serve a proteggere la tua attività dai costi di una violazione, che in media si aggirano sui 200 $ per carta compromessa secondo i dati del settore.
Una violazione presso un rivenditore di medie dimensioni che processa 500 carte al mese può costare 100.000 $ in spese di indagine, notifiche, riemissione carte e danno al marchio.
Scegliere il giusto SAQ significa concentrarsi sulle misure che riducono davvero il rischio, invece di seguire una checklist inutile su requisiti irrilevanti. È la differenza tra sprecare una settimana con il questionario sbagliato e completare la conformità in un pomeriggio con una checklist chiara.
Fai subito il quiz: bastano due minuti per sapere qual è il tuo SAQ e cosa fare dopo.
