Utilizziamo terminali di pagamento autonomi (Ingenico ICT220) su IP e il nostro processore di pagamento (heartland) insiste che non abbiamo bisogno di fare alcun SAQ PCI o di effettuare scansioni, insistono che ci risarciranno in caso di violazione. Non riesco a trovare alcuna istanza di questo, mi sembra che dovrei fare SAQ B-IP in questa istanza e una scansione di sicurezza
Non ho familiarità con questo particolare setup di Heartland, ma suona come una soluzione "P2PE". In questa configurazione, i terminali di pagamento dispongono di speciali chiavi di crittografia specifiche per Heartland caricate prima di essere spedite e crittografano tutti i dati delle carte in modo che Heartland sia l'unico in grado di decrittografarlo. Dal momento che i dati non attraversano mai la rete in una forma leggibile, non sei in ambito PCI - nemmeno SAQ B-IP.
Detto questo, è un SAQ P2PE, che richiede fondamentalmente che tu stia utilizzando una soluzione certificata P2PE e non memorizzi i dati delle carte in nessun altro modo. Puoi leggere a questo proposito qui e trova il documento qui .
Come Heartland (sono il tuo acquirente e così responsabile per gli schemi delle carte per la tua conformità) dicono che non richiedono nulla da te e ti indennizzeranno in caso di penalità di un sistema di carte non dovresti fare altro - come a lungo come hanno messo questo per iscritto. Solo un audit QSA ti dà rifugio sicuro dalle penalità dei sistemi di carte (non un questionario SAQ) e quindi l'indennizzo che Heartland offre è buono per te come audit. Sii felice con questo.
Leggi altre domande sui tag pci-dss