La risposta breve alla tua domanda: in SAQ-A "media" si riferisce esclusivamente a documentazione cartacea contenente i dati di titolari di carta. Sapere che hai menzionato nella tua domanda che ti interessava il contenuto delle informazioni sensibili che un commerciante può memorizzare e non la natura fisica dei media che lo contengono, ma in questo caso si deve considerare entrambi gli elementi nel pensare a cosa "media" si riferisce realmente sotto SAC-A.
La risposta leggermente più lunga:
Iniziamo con quale sia il testo della prima domanda in SAQ-A (a pagina 4 del documento). Nel valutare la conformità con le protezioni di archiviazione delle informazioni della scheda Requisito 9.5 PCI, il documento chiede:
Are all media physically secured (including but not limited to
computers, removable electronic media, paper receipts, paper reports,
and faxes)?
For purposes of Requirement 9, “media” refers to all paper and electronic media containing cardholder data.
Ora per qualsiasi persona ragionevole, quella definizione rapida significa, beh, praticamente esattamente quello che dice: "media" è usato in un senso molto ampio del termine. Significato di qualsiasi oggetto fisico (o almeno di qualsiasi oggetto fisico separato o separabile da un computer, probabilmente) che memorizza o contiene informazioni sulla carta di pagamento, se le informazioni esistono su carta, in formato elettronico su un disco o unità, o in qualche altro tipo di medio. Quindi, il testo della definizione che otteniamo nelle domande effettive del SAQ crea una rete molto ampia.
Ma ecco la cosa: per scopi pratici nel trattare con SAQ-A, la reale , pratica definizione di "media" per un commerciante è in realtà molto più stretta.
La confusione proviene da una fonte molto comprensibile: nonostante la precedente definizione di "media" a cui si fa riferimento nella domanda / ss relativa al Requisito 9.5, le regole di ambito che determinano quali tipi di commercianti sono qualificati per l'uso il SAQ-A dice direttamente che un commerciante SAQ-A normalmente non dovrebbe avere le informazioni della carta di pagamento memorizzate su alcun "supporto". L'unica categoria possibile di eccezioni? L'hai detto: documentazione cartacea. Oppure con le parole esatte della lista di controllo "Parte 2g - Ammissibilità per completare SAQ A" nel documento SAQ-A (pagina 3):
Merchant retains only paper reports or receipts with cardholder data,
and these documents are not received electronically.
Bottom line: Sì, come usato in SAQ-A "media" si riferisce solo a "report cartacei o ricevute". Nonostante la definizione confusa e molto più ampia fa riferimento anche * allo stesso SAQ. (E, FYI, i commercianti che fanno hanno supporti non cartacei con i dati delle carte di pagamento che fluttuano nelle loro operazioni hanno bisogno di dare un'altra occhiata alle regole su chi si qualifica per archiviare sotto SAQ-A. )
Lo so, è abbastanza da farci impazzire. Il meraviglioso mondo del PCI. :)
Modifica: l'elenco di controllo completo dell'ambito SAQ-A: