Consiglierei di chiedere loro di organizzare un incontro tra la tua azienda, la loro azienda e i loro valutatori di sicurezza qualificati (QSA). Sembra che siano preoccupati per alcuni dei requisiti nella Sezione 12 del DSS ( Vedi le istruzioni di segnalazione per i dettagli ).
A seconda di ciò che si sta effettivamente facendo potrebbe influire sull'ambito. La compagnia potrebbe anche essere eccessivamente cauta. Se hanno correttamente isolato i loro dati PCI in una "isola di carte" e non hai a che fare con informazioni di pagamento, i tuoi servizi non dovrebbero rientrare nell'ambito. Il diavolo sarà nei dettagli, se espandi la tua domanda proverò a focalizzare e fornire riferimenti più pertinenti.
Alcune delle clausole specifiche del DSS che sono rilevanti qui sono le seguenti:
12.1 Examine the information security policy and verify that the policy is published and disseminated to all relevant personnel (including vendors and business partners).
12.8 If the entity shares cardholder data with service providers (for example, back-up tape storage facilities, managed service providers such as Web hosting companies or security service providers, or those that receive data for fraud modeling purposes), through observation, review of policies and procedures, and review of supporting documentation, perform the following:
...
12.8.2 Maintain a written agreement that includes an acknowledgement
that the service providers are responsible for the security of cardholder data the service providers possess.
...
12.8.3 Ensure there is an established process for engaging service providers
including proper due diligence prior to engagement.
...