Basso in basso: questo client azzera con i dati della carta di credito (nessuna elaborazione, nessun passaggio, niente), ma hanno un dispositivo spesso collocato sullo stesso segmento di rete di un POS ( Punto di vendita).
La chiave è che i loro clienti si aspettano che seguano i requisiti di sicurezza PCI e producano un attestato. Detto questo, quale PCI SAQ è appropriato usare?
Libreria documenti PCI: link
SAQ A è il più applicabile, che è definito come "Commercianti non presenti nella carta, esternalizzazione di tutte le funzioni di dati dei titolari di carte".
In tutta onestà, possono firmare il proprio nome su qualsiasi SAQ perché senza memorizzare, elaborare o trasmettere i dati dei titolari di carta, soddisfano ogni punto del DSS. Se fossi in loro firmerei un SAQ D (che è il DSS completo) perché sembra migliore.
Un approccio migliore per loro sarebbe mostrare come il dispositivo che collocano nel Cardholder Data Environment (CDE) è compatibile con PCI DSS.
Sono un po 'perplesso - se non hanno a che fare con i dati CC in alcun modo, quindi non ci sono requisiti PCI per loro. La risposta iniziale dovrebbe essere chiedere quale attestato il loro cliente desidera e poi lavorarci.
In effetti, esaminando i dettagli dei documenti PCI (cosa che non ho fatto in pochi mesi, ma questa sera mi sono annoiato) non c'è nulla su cui possa aggrapparmi per indicarli. Seriamente, la risposta chiave ai clienti dovrebbe essere:
PCI DSS non ha nulla per noi, ma quali standard tu vuoi che ci incontriamo?
Leggi altre domande sui tag pci-dss compliance