Versione breve:
Forse SAQ C, ma attenzione, perché SAQ D è pieno di persone che pensavano di essere SAQ C. Se fornivi ulteriori informazioni, potrebbe non passare molto tempo finché annuii con saggezza e dissi " ah, sì, SAQ D. "
Versione lunga:
Se non lo hai fatto, dovresti leggere le Istruzioni e linee guida per il questionario di autovalutazione PCI DSS .
Non sei SAQ A . A è per "Commercianti non-presenti alla carta (e-commerce o posta / ordine telefonico), tutte le funzioni di dati dei titolari di carta esternalizzate ." (sottolineatura mia). Se il tuo server sta accettando un numero di carta, quindi ritrasmetterlo al tuo processore, stai trasmettendo i dati della carta, che è una funzione di dati dei titolari di carta.
Non sei SAQ B . B è per "Commercianti di sola stampa", cioè commercianti che hanno accesso alla carta fisica. "B" è per Brick & mortaio:).
Non sei SAQ C-VT . VT significa "terminali virtuali basati sul web", il che significa che il tuo dipendente si siede davanti a un computer e un telefono e digita i numeri delle carte che il cliente dice loro; il VT agisce esattamente come il terminale nella linea di pagamento al supermercato: parla al processore, riceve una risposta, non memorizza i dati della carta. Se i clienti inseriscono dati nel tuo server web, allora non è un VT.
potresti essere SAQ C . Se invii immediatamente richieste di autenticazione al tuo processore, non le memorizzi mai (come per il batch) e non hai altri sistemi che comunicano con il sistema che sta prendendo le carte, allora potresti qualificarti per C. Ma il kicker è " Il sistema di applicazione di pagamento / dispositivo Internet non è connesso a nessun altro sistema nel proprio ambiente ". Devi davvero essere il più minimale possibile. Questo è il punto in cui la sfumatura di trasmettere-ma-non-memorizzare può avere un impatto su di te, a proposito. Memorizzare i dati delle carte ti spingerà fino a D, solo la trasmissione potrebbe non - se debitamente limitata.
Questo ti lascia con SAQ D , "Tutti gli altri commercianti non inclusi nelle descrizioni per i tipi di SAQ dalla A alla C". È il SAQ più lungo, motivo per cui molti casi borderline sono abbastanza difficili da diventare un SAQ C.
Ma anche se sei SAQ D, se il tuo processore supporta la tokenizzazione, puoi ridurre il tuo raggio d'azione rispondendo "N / A" a molte domande e elencandole come controllo di compensazione. Ad esempio, DSS 3.4, il requisito per crittografare i numeri delle carte, può essere contrassegnato N / A se non si memorizzano mai i numeri delle carte ma si utilizzano invece token.
<disclaimer>
I work for Litle, but you might look into their PayPage + Vault,
which gives you tokenization and allows you to avoid having card
data transit your server. Recurring payments, too, IIRC.
</disclaimer>