Dire che ho un'applicazione che accetta le carte di credito, ma in realtà questo è un gateway di pagamento su Internet che non controllo.
Il sito web ha utilizzato HTTPS e restituisce solo se la carta è stata autorizzata o meno e memorizza le ultime 4 cifre del PAN.
Con questa configurazione, quanto dell'infrastruttura è davvero in-scope?
PCI-DSS si applica solo a computer e sistemi che gestiscono informazioni PCI (Payment Card Industry). Se viene gestito da una terza parte e viene fornito un token di ricevuta, non vengono gestiti dati PCI dal sistema e non rientrano in PCI-DSS.
L'infrastruttura dell'applicazione è in ambito, poiché il PAN viene trasmesso attraverso di esso.