Conformità PCI SAQ-A-EP o SAQ D

3

Il nostro eCommerce wesbite attira meno di 5000 transazioni CC ogni anno e non memorizziamo alcuna informazione CC nel nostro back-end o nei nostri sistemi, ma li trasmettiamo al nostro fornitore di terze parti. Usiamo anche una tecnica di tokenizzazione per la fatturazione ricorrente. Accettiamo le informazioni CC sulla nostra pagina ospitata protetta, ma le trascriviamo tramite SSL al nostro fornitore di servizi di pagamento di terze parti.

Mi piacerebbe sapere se possiamo ancora usare il questionario SAQ A-EP o abbiamo ancora bisogno di compilare SAQ-D perché non usiamo iFrame. Si noti inoltre che viene memorizzato solo il token di fatturazione fornito dal fornitore di servizi di pagamento.

    
posta Vicky 25.08.2015 - 02:45
fonte

1 risposta

1

IANAQSA e tutte le citazioni da Comprensione SAQ per PCI DSS versione 3 :

In base alle informazioni che hai fornito, sarai un SAQ D .

SAQ A e A-EP sono esclusi per te perché possono avere "nessuna memorizzazione elettronica, elaborazione o trasmissione dei dati di titolari di carta sui sistemi del commerciante". Quando dici

We accept CC information on our secured hosted page but trasnmit them through SSL to our third party payment provider

Questo mi dice che stai trasmettendo i dati del titolare della carta. Sto interpretando la "pagina ospitata protetta" come "una pagina web su un server web che gestisci che è protetto con SSL"; correggimi se vuoi dire il contrario.

SAQ B, B-IP, C-VT, C e P2PE-HW sono "Non applicabile ai canali di e-commerce", che sembra escludere il tuo "sito e-commerce". Quindi, sì, SAQ D si applica perché sei un "commerciante non incluso nelle descrizioni degli [altri] tipi di SAQ"

Il fatto che si "usi una tecnica di tokenizzazione" e "si memorizzi solo il token di fatturazione fornito dal fornitore di servizi di pagamento" riduce la quantità di lavoro che il SAQ D implica. Per citare la Guida per la non applicabilità di determinati requisiti specifici in SAQ D :

While many organizations completing SAQ D will need to validate compliance with every PCI DSS requirement, some organizations with very specific business models may find that some requirements do not apply..... an organization that does not store any cardholder data electronically at any time would not need to validate requirements related to secure storage of cardholder data (for example, Requirement 3.4).

    
risposta data 25.08.2015 - 13:26
fonte

Leggi altre domande sui tag