Sono molto deluso da SAQ A-EP. Ritengo che, in quanto sviluppatore web, ci siano troppe domande che mi passano per la testa e non potrei saperlo.
Uso principalmente Stripe e Braintree nelle mie soluzioni di e-commerce. Quindi, c'è questo articolo di interesse:
Dichiarano di essere pienamente conformi alla norma SAQ A. Stripe.js opera prendendo i dati della carta di credito e trasmettendoli (tramite Javascript) direttamente ai server Stripe, dove i dati vengono tokenizzati e restituiti al commerciante. Stripe dice che questo rende un commerciante idoneo per SAQ A, tuttavia, SAQ A dichiara:
The entirety of all payment pages delivered to the consumer's browser originates directly from a third-party PCI DSS validated service provider(s).
Inoltre questo articolo afferma:
SAQ A :
Merchant website provides an iframe or URL that redirects a consumer to a PCI-compliant, third-party payment processor, where no elements of the page originate from the merchant website.
SAQ A-EP :
Merchant website provides an iframe or URL that redirects a consumer to a PCI-compliant, third-party payment processor, BUT some elements of the payment page originate from the merchant website. (Elements would be JavaScript, CSS or any functionality that supports how the payment page is created.)
Per me, sembra che Stripe metta ancora le persone sotto SAQ A-EP. Oppure il PCI non è chiaro, perché sia SAQ A che SAQ A-EP affermano che un iframe è accettabile.
Ma a prescindere da ciò, Stripe.js non usa affatto iframe, quindi mi sembra che non ne abbia uno idoneo per SAQ A.
Pensieri?
EDIT:
Il mio errore. Dopo aver esaminato in modo approfondito il codice Stripe.js, posso vedere che crea dinamicamente un iframe. Non sono sicuro di cosa stia facendo, ma sono sicuro che stanno eseguendo una serie di passaggi per essere conformi a SAQ A.