Ho un SaaS B2B che i miei clienti utilizzano poi con i propri clienti per raccogliere dati in uno scenario faccia a faccia con iPad, vorrei espanderlo per prendere i dettagli della carta di credito. I dettagli della carta di credito verranno archiviati con una terza parte conforme PCI.
Per l'elaborazione potrei avere il numero della carta di credito passare attraverso il mio server (e collegarlo alla terza parte menzionata sopra) o usare un'altra terza parte come spreedly.com per eseguire l'elaborazione trasparente (dove il numero della carta di credito non tocca il mio server)
Poiché sono definito come fornitore di servizi e i volumi sono bassi, penso che l'unica opzione sia "SAQ D per i fornitori di servizi". Sembra che sia il più rigoroso (e quindi il maggior costo) delle SAQ e che se avessi quella conformità potrei elaborare i dati CC sui miei server e persino memorizzare i dati CC se lo volessi.
Per me sembra strano che avrei bisogno dello stesso livello di conformità se i dati CC non hanno mai toccato il mio server come se avessi scelto di memorizzare i dati CC (o almeno di elaborarli sul mio server)! Quindi la mia domanda è che ho capito bene o mi manca qualcosa?
E a parte questo, i miei clienti avrebbero bisogno di avere un certo livello di conformità PCI, dato che raccoglieranno i dati CC? Anche se tutto passerebbe attraverso il mio sistema e le terze parti connesse.
Modifica: non ho detto che il flusso di denaro finisce nella banca dei clienti, non mio, se questo ha senso. Quindi penso che il cliente sarebbe responsabile di assicurare che usassero un fornitore conforme PCI e anche la loro banca avrebbe dettato quale conformità avrebbero avuto bisogno di raggiungere separato da me. Quindi suppongo che non sarebbe mia responsabilità garantire che il client abbia la conformità PCI, ma non è sicuro.