top of page

SAQ PCI – Lequel choisir pour votre entreprise ?

Dernière mise à jour : 4 juin


C’est probablement la première vraie question qu’on se pose quand on découvre PCI DSS : Quel SAQ dois-je remplir ? 🤔


Et la vérité ? C’est rarement aussi évident qu’on le pense.

Sur le papier, tout a l’air simple. Il y a des catégories bien définies. Des règles claires. Mais en réalité… votre entreprise ne rentre peut-être pas parfaitement dans une case.

Vous avez un site e-commerce ?

Très bien. 

Mais qui gère la page de paiement ? Et les scripts ? Vous utilisez un terminal ? OK, mais est-il connecté ? Et s’il l’est, est-ce qu’il transmet les données ou seulement le token ?

Bref. Ce n’est pas aussi binaire que ça en a l’air. Et c’est normal de se sentir un peu perdu.



Les SAQ, en bref (mais sans simplifier à l’excès)


Voici les principales versions du SAQ (Self-Assessment Questionnaire), celles que la majorité des PME rencontrent. Sans jargon :


  • SAQ A : Pour les entreprises qui ne touchent jamais aux données de carte. Le client est redirigé vers un service externe (comme Stripe Checkout). Rien n’est traité ni hébergé chez vous.

  • SAQ A-EP : Vous hébergez une partie du code de la page (souvent un formulaire ou une iframe), mais les données sont traitées ailleurs. Vous êtes plus exposé, donc plus de contrôles.

  • SAQ B : Pour les terminaux autonomes, comme les vieilles machines de comptoir non connectées à Internet. Rares aujourd’hui, mais ça existe.

  • SAQ C-VT : Vous saisissez manuellement les cartes dans un portail sécurisé via un navigateur. Typiquement : le service à la clientèle qui prend les paiements au téléphone.

  • SAQ C : Pour les systèmes POS (Point of Sale) connectés, mais bien segmentés du reste du réseau.

  • SAQ D : Le “grand jeu”. C’est pour vous si vous stockez, traitez, ou transmettez vous-même des données de carte. Ou si vous n’êtes pas éligible aux autres.


Et si je choisis le mauvais ?


Ça arrive. Et c’est risqué.


Choisir un SAQ trop simple peut vous exposer à des audits plus sévères, voire à des refus de la part de votre acquéreur. À l’inverse, choisir un SAQ trop complexe, c’est souvent perdre du temps, mobiliser vos équipes pour des exigences inutiles, et alourdir la charge documentaire. 🫩


Le bon choix ? C’est celui qui reflète votre architecture réelle. Pas celle que vous imaginez. Celle que votre infrastructure met en œuvre tous les jours, même à votre insu.


Un exemple vécu


Un client e-commerce nous a dit :

“On redirige vers Stripe, donc on fait du SAQ A, non ?”

Après analyse, on a trouvé un script de validation de carte qui exécutait une logique côté client, hébergée localement.


Résultat : c’était un cas A-EP, pas A.


Rien de dramatique. Mais il fallait s’y conformer, et surtout, corriger avant que ça ne pose problème.Avec PCI360, ce diagnostic a pris moins de 30 minutes. Sans audit externe. Sans formulaire à remplir manuellement.


Pourquoi c’est critique (et sous-estimé)


Le choix du SAQ détermine tout :

  • Le nombre d’exigences à couvrir

  • Le périmètre à documenter

  • Les politiques à rédiger

  • Les scans et tests à effectuer

  • Et, in fine, le coût 💰 et le délai ⏳ de votre conformité


Mal le choisir, c’est comme construire une maison sans plan.
Vous finirez peut-être par poser un toit, mais à quel prix ?



Ce que PCI360 fait différemment


Notre IA évalue vos flux de paiement, vos configurations, vos fournisseurs, vos terminaux. Elle vous propose le bon SAQ, avec une explication claire. Et ensuite, elle vous pré-remplit les bonnes sections. Vous n’avez qu’à valider.


Et si quelque chose change dans votre stack ? L’outil vous alerte. On garde tout ça à jour. Sans que vous ayez à vous en soucier tous les trimestres.




✅ Besoin de savoir par où commencer ?


 
 
 

Comments

bottom of page