L'archiviazione dei dati delle carte non è il fattore decisivo per l'ambito PA-DSS. Se l'applicazione gestisce i dati della carta, anche se non la memorizza, potrebbe essere in ambito.
Vedi p. 16 della guida al programma PA-DSS per "A quali applicazioni si applica PA-DSS?" sezione:
link
Incluso in quella sezione c'è un elenco di tipi di applicazioni a cui non si applica.
- Se vengono gestiti i dati delle carte, uno dei fattori principali è se la rete
il software è COTS - stai distribuendo software non personalizzato su
molti clienti? In tal caso, probabilmente si applica PA-DSS.
- Se stai creando software personalizzato per un singolo cliente? PA-DSS
probabilmente non si applica.
- Se si ospiterà il software come servizio autonomamente e non si distribuiranno alcun componente, probabilmente il PA-DSS non si applica. Tuttavia, potresti trovarti nell'ambito di applicazione come fornitore di servizi e richiedere la convalida PCI DSS.
In caso di dubbio, è meglio parlare con un PA-QSA; questo è il tipo di valutatore che esegue convalide PA-DSS. Possono collaborare con te per verificare se la tua domanda è idonea.
Ho detto "probabile" in molti posti sopra perché, a seconda della posizione dell'applicazione nella catena di pagamento, di alcuni modelli di tokenizzazione, di altre soluzioni di "riduzione dell'ambito" ecc., può cambiare la situazione. Ad esempio, sono a conoscenza di alcune applicazioni di pagamento orientate al DTMF in cui il fornitore di soluzioni era in ambito PCI DSS stesso, ma non aveva bisogno della convalida PA-DSS sul proprio software a causa del modello di hosting.