Ci è stato chiesto da uno dei nostri clienti di completare un SAQ-D. Anche se il PCI non è una legge, non vogliamo attestare qualcosa che non dovrebbe applicarsi a noi in primo luogo.
Non siamo sicuri che la conformità sia necessaria perché tutte le transazioni con carta di credito sono gestite su un sito Web di terze parti. Le informazioni che abbiamo sul cliente non sono altro che nome, indirizzo e poche informazioni di contatto (telefono, email).
Il cliente effettua l'accesso, inserisce i prodotti nel carrello e fa clic per checkout che li invia a un sito di terze parti dove inseriscono i dati della carta di credito. L'unica informazione che ritorna sui nostri server è un codice di transazione utilizzato dal nostro cliente per fare riferimento al pagamento nella loro area commerciale fuori sito.
Dobbiamo fare il SAQ-D o dovremmo respingere?