Gestiamo un servizio di software online che raccoglie e trasmette transazioni di carte per piccoli commercianti. Utilizzano terminali di tipo "card swipe" collegati ai PC aziendali che indirizzano il traffico direttamente al nostro portale sicuro tramite HTTPS con autenticazione a due fattori. Questi commercianti sono i nostri clienti e i loro modelli di business e le pratiche sono tanto varie quanto i loro nomi. Non controlliamo ciò che fanno all'interno del loro spazio ufficio. Molti non sono ancora certificati PCI.
Come parte del nostro servizio di registrazione, acquistiamo l'hardware di swipe della scheda per loro dai rivenditori di hardware e facciamo distribuire i distributori direttamente ai nostri clienti. Nel corso degli anni abbiamo raccomandato 3 diversi modelli Magtek: Imagesafe, MICRImage e Dynamag Magnesafe. Questi componenti non entrano mai nei nostri locali fisici. Sono acquistati da noi e spediti direttamente al cliente. Non li modifichiamo e non li possediamo.
Quindi, sono tenuto a seguirli come parte del nostro inventario hardware sotto PCI DSS 3.0? Se è così, so che avrei bisogno di hardware e numeri di serie, politiche e procedure per indurire ciascuno di essi, e un modo per testare e tracciare ciascuno di essi. Sto parlando di migliaia di piccoli commercianti, e il pensiero mi fa star male.
La mia speranza è che, poiché non ero il distributore, posso semplicemente inviare a ciascun commerciante una serie di istruzioni di indurimento specifiche per il marchio / modello di terminale che hanno e chiedere l'attestazione che hanno implementato tali istruzioni. Sarà sufficiente?
La mia preoccupazione è che, poiché ero l'acquirente, sarò preso all'amo per l'implementazione sicura di questi terminali nell'ambiente di ciascun commerciante.
Che ne pensi?