Questi non sono requisiti PCI.
Dovresti leggere le Linee guida E-commerce PCI DSS . La sezione 3.4 descrive "Implementazioni comuni di e-commerce" come:
- API di terze parti con post diretto
- iFrame che incorpora la pagina di pagamento di terze parti nel sito del commerciante
- Reindirizzamento alla pagina di pagamento di terze parti
e, per citare,
These examples are intended to be representative of only a few of the
most commonly found basic implementations. By no means are they meant
to cover the vast range of deployments, hardware components, software
applications, and hosting/services models that may exist.
Il numero 3 è ciò che il tuo contatto ti ha detto che devi fare . Non sono corretti se affermano che il PCI richiede che tu sia limitato a questo, ovviamente. Probabilmente significano che è quello che loro supportano e dovresti farlo e sventolare il PCI è un'efficace mazza da bullo.
Come regola generale, qualsiasi partner commerciale che ti dice che devi fare qualcosa a causa del PCI dovrebbe essere in grado di citare la linea e il verso verso di te. Elenca l'elemento del PCI DSS o del SAQ che ritengono di essere in pericolo di violare. Questo ti dà le informazioni necessarie per risolvere il problema. Un business partner che dice "PCI dice" ma non può o non vuole dire dove è di solito mentendo o confuso.
(A volte devi scavare per farlo, spesso le policy vengono determinate da persone che non hanno a che fare con i clienti, ma vengono propagate dal personale di supporto e di gestione degli account, che non sanno cosa guida i requisiti. essere in grado di chiedere una risposta da qualche parte lungo la catena).