Poiché gestisci i dati dei titolari di carta, sei nel campo di applicazione del PCI e dovresti essere conforme.
A seconda del volume dei dati dei titolari di carta che stai trattando, potresti essere in grado di auto-valutare piuttosto che richiedere una valutazione sul posto da parte di un QSA.
Dovresti assicurarti di ricevere i dati della carta tramite un'implementazione HTTPS sicura, ad esempio utilizzando TLS v1.1 o TLS v1.2. Puoi testarlo su ssllabs.com
Assicurati che la terza parte con cui sei impegnato e che gestisce i dati dei titolari di carta dei tuoi clienti sia conforme PCI.
In termini di altri rischi, è necessario garantire che l'interfaccia web / modulo presentato al cliente sia stato sviluppato utilizzando processi di sviluppo del ciclo di vita del software sicuro. Inoltre, rivedere lo standard PCI DSS in quanto vi sono molti requisiti da implementare e processi di sicurezza da rispettare.