Applicazione PA-DSS e DTMF

L'archiviazione dei dati delle carte non è il fattore decisivo per l'ambito PA-DSS. Se l'applicazione gestisce i dati della carta, anche se non la memorizza, potrebbe essere in ambito.

Vedi p. 16 della guida al programma PA-DSS per "A quali applicazioni si applica PA-DSS?" sezione: link

Incluso in quella sezione c'è un elenco di tipi di applicazioni a cui non si applica.

• Se vengono gestiti i dati delle carte, uno dei fattori principali è se la rete il software è COTS - stai distribuendo software non personalizzato su
  molti clienti? In tal caso, probabilmente si applica PA-DSS.
• Se stai creando software personalizzato per un singolo cliente? PA-DSS probabilmente non si applica.
• Se si ospiterà il software come servizio autonomamente e non si distribuiranno alcun componente, probabilmente il PA-DSS non si applica. Tuttavia, potresti trovarti nell'ambito di applicazione come fornitore di servizi e richiedere la convalida PCI DSS.

In caso di dubbio, è meglio parlare con un PA-QSA; questo è il tipo di valutatore che esegue convalide PA-DSS. Possono collaborare con te per verificare se la tua domanda è idonea.

Ho detto "probabile" in molti posti sopra perché, a seconda della posizione dell'applicazione nella catena di pagamento, di alcuni modelli di tokenizzazione, di altre soluzioni di "riduzione dell'ambito" ecc., può cambiare la situazione. Ad esempio, sono a conoscenza di alcune applicazioni di pagamento orientate al DTMF in cui il fornitore di soluzioni era in ambito PCI DSS stesso, ma non aveva bisogno della convalida PA-DSS sul proprio software a causa del modello di hosting.

Si noti che se si stanno trasferendo i dati della carta di credito a un altro fornitore di servizi è necessario monitorare i suoi stati di conformità