Ho un prodotto in rete che installiamo sulle reti dei clienti. Il dispositivo non trasmette nessuno dei dati CC, ma si trova solo sulla stessa rete (si pensi a Nest o Dropcam). Le reti dei clienti a volte includono un dispositivo POS. Non riceviamo, elaboriamo o vediamo mai alcuna informazione sulla carta di credito. Tuttavia, dal momento che i nostri clienti sono conformi PCI, vogliono che anche noi siamo conformi allo standard PCI.
1) La conformità PCI richiede che tutti i tuoi fornitori (ad esempio io) siano anche conformi PCI?
2) Tutte le informazioni e i questionari che ho trovato sono specificamente rivolti alle organizzazioni che effettivamente memorizzano o elaborano i dati di pagamento. Esiste un'autovalutazione per situazioni in cui non trasmetto dati di carte di credito, ma siedi sulla stessa rete del POS?
3) Se, come questo question suggerisce, sono già conforme PCI, posso ottenere qualcosa che certifica che non elaboro alcun dato della carta di credito e sono conforme PCI? Nota che non penso di essere compatibile con PCI solo perché non immagazzino PAN. Il cliente sarebbe nei guai se esponessi un buco di sicurezza nella loro rete (cosa che non faccio, ma non ho nessun pezzo di "certificazione" che lo dica).