Facevo parte di un team che ha sviluppato un sito di e-commerce (creato con Wordpress e WooCommerce) per un cliente. Usano StripeJS e PayPal Standard per elaborare i pagamenti e il sito è ospitato su un server dedicato con TLS da un'autorità di certificazione attendibile. Il responsabile della sicurezza digitale del cliente ha stabilito che avevano bisogno di SAQ PCI-DSS A-EP (che corrisponde a ciò che indicano le strisce stesse ). Fin qui, tutto bene.
Tuttavia, ora la banca del cliente ha richiesto copie del suo SAQ PCI e ci ha chiesto (come sviluppatori del sito web) di compilare una copia dello stesso SAQ in aggiunta alla copia del cliente / commerciante . La banca ha anche chiesto separatamente alla società di hosting di fare lo stesso.
Per quanto ne so, SAQ A-EP è applicabile solo al commerciante. Possiamo certamente aiutarli a riempirlo, ma non penso che dovremmo fare uno separato. Qualcuno nell'ufficio ha suggerito che dovremmo compilare il questionario SAQ-D e inviarlo, ma per quanto posso determinare, SAQ D dovrebbe essere per i commercianti che non soddisfano altre categorie SAQ. Ho suggerito di riattaccare, poiché sembra tutto un po 'poco chiaro.
Dovremmo, come sviluppatori web (che non sono affatto coinvolti nell'elaborazione di hosting o pagamento), completare un documento SAQ separato quando i commercianti stessi sono conformi a SAQ A-EP?
Nota: al momento non abbiamo una clausola di responsabilità contrattuale con loro, dal momento che il sito si è rapidamente evoluto da un opuscolo statico a un negozio online completo in un brevissimo periodo di tempo. Lo risolveremo a breve. )