在支付卡行业数据安全标准（PCI DSS）中，SAQ（Self-Assessment Questionnaire，自评估问卷） 是商家和服务提供商用于自我评估是否符合PCI合规要求的工具。以下是关于SAQ审核的关键信息：

1. SAQ的用途

验证商户或服务提供商是否安全处理持卡人数据。

帮助确认符合PCI DSS标准，降低数据泄露风险。

作为向收单机构或支付品牌证明合规性的文件。

2. SAQ类型及适用场景

根据业务场景和支付处理方式，选择对应的SAQ类型：

SAQ A：支付完全外包给第三方（无卡数据存储或处理）。

SAQ A-EP：仅电子商务网站，支付页面跳转到第三方。

SAQ B：通过物理终端或拨号终端处理支付（无电子存储数据）。

SAQ B-IP：使用互联网连接的支付终端（无数据存储）。

SAQ C-VT：手动输入交易（如虚拟终端）。

SAQ C：支付系统与内部网络连接（无数据存储）。

SAQ D：所有其他情况（需全面验证合规性）。

3. SAQ审核流程

确定适用的SAQ类型
根据支付流程、数据存储情况等选择正确问卷。

填写SAQ问卷
回答所有相关问题，确认符合PCI DSS要求。

执行漏洞扫描（如适用）
对暴露在互联网的系统进行PCI认证扫描（SAQ A-EP、B-IP等可能需要）。

提交合规证明
将SAQ、扫描报告（ROC）及合规证明提交至收单机构或支付品牌。

年度复审
PCI合规需每年重新评估，业务变化时需更新SAQ类型。

4. 审核准备建议

明确支付流程：梳理支付环节，确认数据存储和传输方式。

网络分割：隔离持卡人数据环境，减少合规范围。

文档整理：保留安全策略、员工培训记录、漏洞修复记录等。

定期扫描：使用PCI认证的扫描工具（如Qualys）检查系统漏洞。

咨询专家：复杂场景（如SAQ D）建议联系PCI QSA（合格安全评估员）。

5. 常见问题

如何选择SAQ类型？
参考PCI SSC官方指南或联系收单机构确认。

审核未通过怎么办？
修复漏洞（如更新系统、加强访问控制），重新提交报告。

SAQ与ROC的区别？
SAQ是自评问卷；ROC（Report on Compliance）是第三方评估报告，适用于SAQ D等复杂场景。

6. 重要提醒

不合规可能导致罚款、业务中断或支付权限终止。

PCI DSS要求持续合规，而非一次性检查。

如果需要更具体的指导，建议访问PCI安全标准委员会官网或咨询专业合规团队。