Blog > Cipher > PCI-DSS

SAQ no PCI DSS 4.0.1: qual questionário escolher?

Se sua empresa faz parte dos comerciantes ou prestadores de serviço que processam pagamentos com cartão, mas não precisa passar por uma auditoria formal com QSA, você provavelmente vai trabalhar com o SAQ PCI DSS 4.0.1. O Self-Assessment Questionnaire (SAQ) é a principal ferramenta de autoavaliação para comprovar conformidade com o PCI DSS de forma simplificada. 

Mas com a chegada da versão 4.0.1, surgiram algumas mudanças importantes nos questionários SAQ, especialmente nos formatos A, A-EP e D. Neste artigo, vamos detalhar as mudanças nos SAQs, explicar o novo fluxo de validação e alertar sobre os erros mais comuns na escolha do questionário. 

 

O que é o SAQ no PCI DSS? 

O SAQ (Self-Assessment Questionnaire) é um documento de autoavaliação composto por perguntas sobre os controles de segurança implementados pela empresa. 

O objetivo é validar que sua organização cumpre os requisitos mínimos do PCI DSS, de acordo com o seu perfil de processamento de dados de cartão. 

 

O que muda no SAQ com a versão PCI DSS 4.0.1? 

A versão PCI DSS 4.0.1, lançada em 2024, trouxe principalmente ajustes de terminologia, melhorias de clareza nas perguntas e pequenas correções que impactam diretamente os SAQs. 

Principais pontos de destaque: 

✅ Revisão da linguagem dos questionários 

Agora as perguntas dos SAQs estão mais alinhadas ao novo formato de requisitos da versão 4.0, com foco em metodologias baseadas em metas (Objective-based requirements). 

 

✅ Alterações no SAQ A e SAQ A-EP 

O SAQ A continua destinado a empresas que terceirizam totalmente o processamento de pagamentos, mas o novo questionário traz: 

  • Exigência mais clara sobre proteção de páginas de redirecionamento (caso existam); 

  • Perguntas adicionais sobre segurança de redirecionamento e links de pagamento. 

O SAQ A-EP, voltado para e-commerces que hospedam páginas de pagamento ou scripts, teve: 

  • Novas questões relacionadas ao gerenciamento de scripts de terceiros; 

  • Reforço nas exigências de segurança para o ambiente de hospedagem. 

 

✅ SAQ D: mais detalhado e longo 

O SAQ D, que é o modelo mais completo e aplicável a empresas com ambientes mais complexos ou com escopo maior, foi atualizado para refletir todas as novas exigências da versão 4.0.1. 

Novidades principais no SAQ D: 

  • Inclusão de controles relacionados à autenticação multifator (MFA); 

  • Perguntas ajustadas para refletir os novos requisitos de segmentação e monitoramento contínuo; 

  • Mais foco na documentação de evidências. 

 

✅ Fluxo de validação aprimorado 

Agora os SAQs trazem um fluxo mais claro de validação, com seções de: 

  • Introdução ao escopo; 

  • Declaração de responsabilidade; 

  • Perguntas de controle; 

  • Resumo de status de conformidade; 

  • Seção de assinatura final. 

Esse novo formato facilita a entrega do SAQ para adquirentes, bandeiras ou clientes. 

 

Como escolher o SAQ correto para sua empresa? 

Selecionar o SAQ errado é um dos erros PCI DSS mais comuns, que pode levar sua empresa a uma falsa sensação de conformidade. 

Aqui está um resumo dos principais tipos de SAQ com base no PCI DSS 4.0.1: 

 

Tipo de SAQ  Para quem é 
SAQ A  E-commerces ou call centers que terceirizam 100% do processamento e não armazenam dados de cartão 
SAQ A-EP E-commerces que hospedam páginas de pagamento ou scripts que impactam o processo de pagamento 
SAQ B  Lojas físicas que usam apenas terminais de pagamento com conexão discada
SAQ B-IP  Lojas físicas com POS que usam IP, mas sem armazenamento de dados
SAQ C  Ambientes com sistemas próprios conectados por rede, mas sem armazenamento de dados
SAQ C-VT  Uso exclusivo de terminais virtuais baseados em web, sem armazenamento 
SAQ P2PE-HW  Empresas que usam soluções de criptografia ponto a ponto (P2PE) validadas 
SAQ D  Empresas que armazenam dados de cartão ou que não se enquadram nas categorias anteriores

 

 

Erros comuns na escolha do SAQ (e como evitar) 

❌ 1. Escolher o SAQ A por conveniência 

Erro: Muitas empresas de e-commerce assumem que o SAQ A é o mais fácil e escolhem sem validar os requisitos. 

Como evitar: Verifique se realmente todo o processamento está terceirizado e se sua empresa não hospeda nenhum script que interaja com a página de pagamento. 

 

❌ 2. Ignorar que scripts de terceiros mudam o tipo de SAQ 

Se seu site carrega scripts de terceiros que afetam o fluxo de pagamento, você provavelmente precisa usar o SAQ A-EP, mesmo que o processamento ocorra externamente. 

 

❌ 3. Não revisar o ambiente após mudanças 

Uma simples alteração na arquitetura (como mudança de provedor de hospedagem ou adoção de uma nova plataforma de e-commerce) pode mudar completamente o SAQ aplicável. 

Dica: Sempre que houver uma alteração no ambiente de TI, revise imediatamente o SAQ aplicável. 

 

❌ 4. Subestimar a complexidade do SAQ D 

Se sua empresa se enquadrar no SAQ D, prepare-se: ele é extenso e exige documentação detalhada. Tentar "forçar" um SAQ mais simples só vai aumentar o risco de não conformidade. 

 

Como a Cipher pode ajudar com os SAQs do PCI DSS 4.0.1? 

Escolher e preencher corretamente o SAQ é uma etapa crítica na jornada PCI DSS. A Cipher oferece: 

✅ Suporte na seleção do SAQ correto; 
✅ Consultoria no preenchimento de qualquer tipo de SAQ; 
✅ Análise de gaps antes da autoavaliação; 
✅ Revisão das respostas e evidências antes da submissão; 
✅ Suporte técnico em caso de mudanças de escopo. 

 

Conclusão 

Com as mudanças trazidas pelo PCI DSS 4.0.1, escolher o SAQ certo e responder com precisão ficou ainda mais importante. Um erro de seleção pode gerar auditorias corretivas, multas e até a suspensão da capacidade de processar pagamentos com cartão. 

Seja qual for o seu cenário — e-commerce, loja física, SaaS ou serviço online — contar com a orientação de uma equipe especializada como a Cipher pode fazer toda a diferença para garantir sua conformidade PCI DSS de forma eficiente e segura. 

Entre em contato com a Cipher e tire suas dúvidas sobre o SAQ PCI DSS 4.0.1 

PCI-DSS