Forniamo un servizio di carrello acquisti con integrazioni a più processori di pagamento di terze parti (PayPal, Authorize.net, ecc.) in cui tutte le elaborazioni di pagamento avvengono sulle loro reti (cioè, nessun dato CC entra nelle nostre reti). Alcune delle nostre prospettive hanno affermato che siamo un fornitore di servizi ai loro occhi poiché controlliamo il reindirizzamento ai processori di pagamento.
Dato che non abbiamo CDE, possiamo rispondere "N / A" a tutti i requisiti SP SAQ-D che fanno riferimento al CDE?
Sto cercando di restringere il campo di applicazione che ritengo sia solo il server che esegue il reindirizzamento. Tuttavia dal momento che non memorizza, elabora né trasmette dati CC, ho difficoltà a capire come adattarsi all'interno di SAQ-D SP.
Sono sicuro che a un certo punto avremo bisogno di un QSA ma mi piacerebbe capire il più possibile, così posso almeno avere una conversazione intelligente e un elenco di domande prima di contrattare con loro.