Skip to main content

Comprendre les types de SAQ PCI et comment déterminer le bon pour votre commerçant

Cet article explique les différents types de SAQ en termes simples et fournit un guide clair pour aider les partenaires à déterminer quel SAQ s’applique lors de l’intégration d’un commerçant.

M
Written by Meagan Love
Mis à jour cette semaine

Ce guide est également utilisé par ValPay pour attribuer le bon code de produit PCI dans Aperia.

Pourquoi les SAQ PCI sont importants

Toute entreprise qui accepte des paiements par carte de crédit doit remplir un SAQ PCI chaque année.

Le bon SAQ dépend entièrement de la manière dont le commerçant accepte les paiements et du fait qu’il stocke ou traite des données de titulaires de carte.

Choisir le bon SAQ permet :

• De réduire la portée de la conformité
• D’appliquer des exigences de sécurité exactes
• D’accélérer l’intégration des commerçants
• D’éviter des frais PCI ou des audits inutiles

Explication des types de SAQ (en termes simples)

Vous trouverez ci-dessous un aperçu de chaque type de SAQ en langage clair.

SAQ A — Paiements en ligne entièrement externalisés

Pour les commerçants qui acceptent uniquement des paiements en ligne ou par téléphone/courrier et ne manipulent jamais directement les données de carte.

✔ Utilisation de pages de paiement hébergées, redirection de paiement, iFrames
✔ Aucun terminal de paiement en personne
✔ Aucune donnée de carte ne transite par leurs systèmes

En termes simples :
Le fournisseur de paiement gère tout. Le site Web du commerçant ne voit jamais les numéros de carte.

SAQ A-EP — Sites e-commerce influençant la sécurité du paiement

Pour les commerçants qui acceptent uniquement des paiements en ligne, mais dont le site Web charge des scripts ou du contenu ayant un impact sur la sécurité de la page de paiement.

✔ Ils ne reçoivent pas directement les données de carte
✔ Leur site Web influence néanmoins l’environnement de paiement

En termes simples :
Le commerçant ne touche pas aux données de carte, mais son site Web influence le processus de paiement.

SAQ B — Imprimantes à empreinte ou terminaux à numérotation téléphonique uniquement

Pour les commerçants utilisant :

✔ Des imprimantes à empreinte (imprinters)
✔ Des terminaux autonomes à ligne téléphonique (dial-up)
✔ Aucun stockage de données de carte
✔ Aucun appareil connecté à Internet

En termes simples :
Uniquement des machines anciennes — pas de solutions en ligne ou modernes.

SAQ B-IP — Terminaux autonomes connectés à Internet

Pour les commerçants utilisant uniquement des terminaux de paiement autonomes sur comptoir (sans intégration POS).

✔ Aucun e-commerce
✔ Aucun stockage de données de carte
✔ Matériel approuvé PCI et isolé

En termes simples :
Un terminal de paiement simple qui n’est pas connecté à un logiciel.

SAQ C-VT — Terminal virtuel uniquement

Pour les commerçants qui saisissent manuellement les numéros de carte dans un terminal virtuel sécurisé basé sur le Web.

✔ Un appareil par utilisateur
✔ Aucun stockage de données de carte
✔ Système basé sur un navigateur

En termes simples :
Le commerçant saisit manuellement les numéros de carte dans une page Web.

SAQ C — Terminaux intégrés à un POS ou à un logiciel

Pour les commerçants dont le logiciel ou le système POS est connecté au processeur de paiement.

✔ Le système est connecté à Internet
✔ Aucun stockage de données de carte
✔ Terminaux semi-intégrés ou entièrement intégrés

En termes simples :
Le système de point de vente communique directement avec le processeur de paiement.

SAQ P2PE — Solutions de terminaux P2PE validées

Uniquement pour les commerçants utilisant des appareils P2PE figurant sur la liste PCI.

✔ Les données de carte sont chiffrées immédiatement
✔ Aucun accès aux données de carte

En termes simples :
Les terminaux chiffrent toutes les données dès que la carte est présentée (tapée ou glissée).

(Remarque : Tous les fournisseurs de terminaux ne sont pas admissibles au P2PE.)

SAQ SPoC — Appareil mobile + lecteur de carte sécurisé

Pour les commerçants acceptant des paiements sur :

✔ Un téléphone intelligent ou une tablette
✔ Un lecteur de carte sécurisé approuvé SPoC

En termes simples :
Un système de paiement mobile avec un lecteur de carte sécurisé connecté.

SAQ D — Tous les autres cas

Si un commerçant ne correspond clairement à aucune des catégories ci-dessus, il devra remplir le SAQ D.

✔ Commerçants qui stockent ou traitent des données de carte
✔ Environnements POS complexes
✔ Infrastructures multi-systèmes

En termes simples :
Si aucune autre catégorie ne s’applique, le commerçant relève du SAQ D.

Comment les partenaires peuvent déterminer le bon SAQ (liste de vérification rapide)

Utilisez les questions ci-dessous pour guider les commerçants et identifier leur type de SAQ.

1. Le commerçant stocke-t-il, traite-t-il ou transmet-il des données de carte ?

Oui → SAQ D
Non → Continuer

2. Comment le commerçant accepte-t-il les paiements en personne ?

Terminal autonome sur comptoir → SAQ B-IP
Système POS intégré aux terminaux → SAQ C
Appareil mobile + lecteur sécurisé → SAQ SPoC
Imprimante manuelle ou terminal à ligne téléphonique → SAQ B
Aucun paiement en personne → Continuer

3. Comment le commerçant accepte-t-il les paiements en ligne ?

Page de paiement hébergée / Redirection / iFrame → SAQ A
Site Web personnalisé chargeant des scripts ou des formulaires → SAQ A-EP
API ou intégration logicielle avec données de carte → SAQ D

4. Le commerçant saisit-il manuellement les paiements ?

Oui → SAQ C-VT
Non → Continuer

5. Aucun des cas ci-dessus ne s’applique ?

Le commerçant relève du SAQ D

Did this answer your question?