PCI Security Standards Council julkaisi alkuvuodesta kauan odotetun päivityksen itsearviointilomakkeeseen (Self-Assessment Questionnaire, SAQ). Tätä itsearviointilomaketta käyttäen pienemmät luottokorttitapahtumia vastaanottavat ja käsittelevät toimijat ilmoittavat PCI-vaatimustenmukaisuutensa tilan. Tarkempi lista PCI-tasoista ja kelpoisuuden arvioinnista on luettavissa Nixun PCI-sivulla.

Tässä uudessa SAQ-versiossa toimijat on jaettu viiteen eri luokkaan (1-5) ja jokaiselle luokalle on erikseen määritelty SAQ-lomake jota tulee noudattaa. Kuten alla olevasta taulukosta näkyy, selviävät jotkin toimijat helpolla, mutta varsinkin lomake D vastaa lähes täysin täyttä PCI DSS -taulukkoa.

SAQ luokka - Kuvaus - SAQ lomake - Lomakkeessa kysymyksiä (kpl):

1 Vain kortittomia tapahtumia (etäkauppa, card-not-present) käsittelevät kauppiaat. Kaikki maksukorttitiedon käsittely tulee olla ulkoistettu. Tämä luokka ei koske kivijalkakauppoja joissa maksetaan luottokortilla. A 11

2 Vain leimauslaitteella maksutapahtumia käsittelevät kauppiaat. Luottokorttitietoa ei saa tallentaa elektronisesti. B 21

3 Kauppiaat joilla on itsenäinen maksupääte soittoyhteydellä. Luottokorttitietoa ei saa tallentaa elektronisesti. B 21

4 Kauppiaat joiden maksusovellukset ovat yhteydessä internetiin. Luottokorttitietoa ei saa tallentaa elektronisesti. C 38

5 Kaikki muut kauppiaat (jotka eivät sovi luokkiin 1-4) sekä kaikki palveluntarjoajat, jotka ovat velvoitettu käyttämään itsearviointilomaketta. D 226

Virallinen luokittelu sekä työkalu oman SAQ-lomakkeen valintaan on esitetty Instructions Guidelines -dokumentissa [pdf].