SAQを実施する前に、次の5つを行いましょう。

1. 自社に適用されるSAQのタイプを選ぶ

2. PCI DSSの対象範囲が正しいことを確認する

3. 自社に適用されるPCI DSSの要求事項を満たしているかどうか自己評価する

4. SAQの各セクション（評価情報、自己問診、検証と認証の詳細）に記入する

5. アクワイアラなどから求められた際は、SAQ結果、AOC（準拠証明書）、関係資料を提出する

このうち最も重要なのが、自社に適用されるSAQのタイプを選ぶことです。

たとえば電子商取引の場合は、次のいずれかのタイプになるでしょう。

サービスプロバイダ

に適用されるのは「SAQ D–サービスプロバイダ用」のみです。これは、「SAQ D–加盟店用」の項目に加え、文書の有無および顧客への提供、ポリシーおよび手順の調査、システム構成設定の調査、警告の有無、ペネトレーションテスト（侵入テスト）の記録などに関する項目が追加され、計259項目もの質問で構成されています。

加盟店

1. SAQ A

   決済システムをサービスプロバイダに完全に外部委託している（決済ページでURL RedirectやiFrameを使用している）事業者に適用されます。SAQ Aでチェックされる内容は文書、システム構成設定の調査、ポリシーおよび手順の調査、データの保管と削除、外部脆弱性スキャンのレポート等です。SAQ Aは全タイプのうち最も短く、質問は29項目しかありません。

2. SAQ A-EP

   決済システムをサービスプロバイダに外部委託しているが、決済ページは自社で設置している加盟店に適用されます。SAQ A-EPのチェック内容には、上述したSAQ Aの項目に加え、ネットワーク管理、サーバ管理、情報セキュリティ、脆弱性管理、アクセス制御、ネットワークの定期的な監視とテストなどがあります。加盟店がペイメントサービスの一部に関与していることから、要件が大幅に増加しています。

3. SAQ D for Merchant

   決済システムを自社で設置しているか、または取引の過程でカード会員データを電子的に保存している加盟店に適用されます。チェック内容は上述のSAQ A-EPよりもさらに広範になり、PCI DSSの加盟店向けの要件がすべて含まれています。