- Directives d'intégration
- Conformité SAQ-A
Conformité SAQ-A
Les commerçants et les fournisseurs de services de paiement utilisent les questionnaires d'auto-évaluation (SAQ) afin d'évaluer leurs exigences de conformité PCI. Pour plus d'informations sur les questionnaires SAQ, voir Comprendre les questionnaires SAQ pour PCI DSS version 3.
SAQ-A impose au commerçant le niveau d'obligation le plus bas pour la conformité PCI, la gestion des données sensibles PCI étant effectuée par un tiers, tel que Mastercard Gateway. Comme défini par PCI, les commerçants SAQ-A peuvent être des commerçants par commerce électronique ou par commande par courrier/téléphone (MOTO) (carte non présente), et ne pas stocker, traiter ni transmettre les données du titulaire de la carte sous format électronique dans leurs systèmes ou installations.
Prise en charge de la conformité SAQ-A par la passerelle
La passerelle ne vous impose pas de respecter la conformité SAQ-A ; cependant, elle fournit une fonctionnalité pour vous aider à satisfaire vos obligations SAQ-A. Cette prise en charge est disponible pour les intégrations d'API et l'IU du commerçant (application Administration du commerçant).
Votre fournisseur de services de paiement doit au préalable vous activer pour la conformité SAQ-A (via l'IU, l'API ou les deux).
Conformité SAQ-A via l'IU du commerçant
Si vous choisissez de respecter la conformité SAQ-A via l'IU, la passerelle vous empêchera de créer des commandes MOTO (courrier/téléphone) en saisissant les détails de la carte sur les écrans de saisie de commande — les écrans de saisie de commande seront désactivés.
Conformité SAQ-A via l'API
Si vous choisissez de respecter la conformité SAQ-A via l'API, la passerelle rejettera les transactions incluant directement des données du titulaire de la carte sensibles PCI, telles que le numéro de carte. À la place des détails de la carte, vous pouvez plutôt inclure un conteneur pour les données du titulaire de la carte, tel qu'une session de paiement ou un jeton.
Lorsqu'utilisée avec l'intégration Hosted Session, une session de paiement prend en charge la conformité SAQ-A. Vous pouvez également choisir l'intégration via Hosted Checkout, la passerelle gérant les données du titulaire de la carte pour vous.
Si vous utilisez l'intégration via Batch, les lots comportant des PAN non masqués seront rejetés.
La passerelle masquera également les PAN dans la réponse de la transaction. Si vous demandez à ce que les PAN soient retournés non masqués dans la réponse, la passerelle renverra une erreur afin de prendre en charge la conformité SAQ-A.