È necessario PCI come fornitore SaaS quando i pagamenti vengono gestiti su siti di terze parti?

3

Ci è stato chiesto da uno dei nostri clienti di completare un SAQ-D. Anche se il PCI non è una legge, non vogliamo attestare qualcosa che non dovrebbe applicarsi a noi in primo luogo.

Non siamo sicuri che la conformità sia necessaria perché tutte le transazioni con carta di credito sono gestite su un sito Web di terze parti. Le informazioni che abbiamo sul cliente non sono altro che nome, indirizzo e poche informazioni di contatto (telefono, email).

Il cliente effettua l'accesso, inserisce i prodotti nel carrello e fa clic per checkout che li invia a un sito di terze parti dove inseriscono i dati della carta di credito. L'unica informazione che ritorna sui nostri server è un codice di transazione utilizzato dal nostro cliente per fare riferimento al pagamento nella loro area commerciale fuori sito.

Dobbiamo fare il SAQ-D o dovremmo respingere?

    
posta Gary Cornelisse 07.09.2016 - 20:08
fonte

1 risposta

2

Sembra che potresti qualificarti per il SAQ A. Suggerirei di consultare le istruzioni SAQ e lasciandoti guidare su quale SAQ usare. Se la tua azienda accetta pagamenti con carte di credito, è necessario che sia conforme allo standard PCI. Solo perché esternalizzi i pagamenti su un altro sito non significa che salti del tutto il SAQ, ma potresti qualificarti per uno che richiede meno dimostrazioni (come SAQ A vs SAQ D).

    
risposta data 07.09.2016 - 21:45
fonte

Leggi altre domande sui tag