Siamo un sito di e-commerce. Sto lavorando alla nostra conformità PCI al momento, e sto cercando, se possibile, di sostenere che la nostra organizzazione rientra in SAQ A anziché D. Non abbiamo dettagli sensibili sulle carte in un database, supporto fisico ecc. Ecc. Abbiamo superato numerose scansioni PCI.
Il nostro flusso di pagamento è il seguente:
- Aggiungi elementi al carrello.
- Inserisci i dettagli dell'indirizzo.
- Passa a una nuova pagina, ospitata sul nostro sito Web (che a sua volta è generato da un server dedicato, ospitato in un centro dati conforme PCI) in cui il cliente inserisce i dettagli della carta.
- Questi dettagli sono quindi inviati HTTPS al nostro server in cui vengono assegnati a una variabile e quindi cURL Pubblicati (con SSL) al nostro processore di pagamento di terze parti.
Spero che, poiché i dettagli delle carte siano conservati in RAM volatile piuttosto che in qualsiasi spazio di archiviazione permanente, potremmo ancora rientrare nel SAQ A. Se non lo facciamo, (e considerando solo i criteri sopra riportati) cadremmo sotto SAQ C o SAQ D? In precedenza mi è stato consigliato SAQ C, ma questo sembra essere riservato specificamente per le applicazioni di pagamento hardware, che non usiamo.