Какие изменения произошли в содержании и формате опросников самооценки?

Какие изменения произошли в содержании и формате опросников самооценки?

Какие изменения произошли в содержании и формате опросников самооценки?

Содержание опросников самооценки было приведено в соответствие с новыми требованиями стандарта. По-прежнему, наименее объемным остается SAQ-A, который содержит всего 14 вопросов из двух разделов стандарта. В случае наличия у мерчанта, попадающего под SAQ-A, интернет-сайта, необходимо ежеквартально выполнять его ASV-сканирование.
SAQ-A-EP содержит уже 139 вопросов из всех двенадцати разделов PCI DSS, что охватывает приблизительно 40 % от общего количества требований.  Существенным нововведением является включение в SAQ вопроса о выполнении внешнего теста на проникновение.

И, наконец, SAQ-D содержит 329 вопросов, охватывающих весь объем стандарта. Необходимо отметить, что  в случае, если организация не хранит данных карт, на значительную часть вопросов можно будет ответить «Не применимо» (N/A).
Изменился формат опросников, появилась новая колонка «Ожидаемые проверки», содержащая перечень действий, которые предположительно должны быть выполнены организацией  для проверки соответствия конкретному требованию. Кроме того, в области ответа вместо колонки «Special» появились две новые колонки «Yes with CCW» («Да» с компенсационными мерами») и «N/A». По мысли разработчиков стандарта, это должно упростить процедуру выполнения самооценки и заполнения формы опросника.

Также изменена последовательность следования разделов в документе – собственно опросник SAQ  помещен между разделами 2 и 3 Аттестата о соответствии AOC. Кроме того, документ, помимо руководителя организации, может быть подписан QSA или ISA (внутренний аудитор) в случае если QSA или ISA принимали участие в самооценке организации (но участие QSA или ISA не является обязательным).

Более подробно об изменениях в содержании и применимости SAQ к различным типам организаций можно прочитать в документе Understanding the SAQs for PCI DSS v.3.0.