IANAQSA e tutte le citazioni da Comprensione SAQ per PCI DSS versione 3 :
In base alle informazioni che hai fornito, sarai un SAQ D .
SAQ A e A-EP sono esclusi per te perché possono avere "nessuna memorizzazione elettronica, elaborazione o trasmissione dei dati di titolari di carta sui sistemi del commerciante". Quando dici
We accept CC information on our secured hosted page but trasnmit them
through SSL to our third party payment provider
Questo mi dice che stai trasmettendo i dati del titolare della carta. Sto interpretando la "pagina ospitata protetta" come "una pagina web su un server web che gestisci che è protetto con SSL"; correggimi se vuoi dire il contrario.
SAQ B, B-IP, C-VT, C e P2PE-HW sono "Non applicabile ai canali di e-commerce", che sembra escludere il tuo "sito e-commerce". Quindi, sì, SAQ D si applica perché sei un "commerciante non incluso nelle descrizioni degli [altri] tipi di SAQ"
Il fatto che si "usi una tecnica di tokenizzazione" e "si memorizzi solo il token di fatturazione fornito dal fornitore di servizi di pagamento" riduce la quantità di lavoro che il SAQ D implica. Per citare la Guida per la non applicabilità di determinati requisiti specifici in SAQ D :
While many organizations completing SAQ D will need to validate
compliance with every PCI DSS requirement, some organizations with
very specific business models may find that some requirements do not
apply..... an organization that does not store any cardholder data
electronically at any time would not need to validate requirements
related to secure storage of cardholder data (for example, Requirement
3.4).