Attualmente sto tentando di comprendere la conformità PCI e cosa devo fare affinché la mia attività sia conforme. Vorrei una conferma su ciò che ho trovato finora.
Accetto pagamenti in un'applicazione mobile. Prendiamo i dati di pagamento e li inoltriamo al nostro servizio REST (su HTTPS), quindi tale servizio li trasferisce immediatamente a un gateway di pagamento di terze parti per gestire il pagamento. Riceviamo la conferma e l'app riceve tale conferma. In nessun momento memorizziamo i dettagli del pagamento. La mia azienda accetta poco più di 20.000 pagamenti all'anno.
Quindi, sarei corretto nel dire che:
- È necessario completare un SAQ-D.
- Ogni trimestre ho bisogno di ottenere una qualche forma di scansione di rete da un ASV?
Vorrei anche sapere se sono necessari altri passaggi per essere conformi PCI?
Inoltre, se utilizzo l'SDK per dispositivi mobili PayPal, quali (eventuali) ulteriori passaggi dovrei adottare per diventare conforme PCI?