Costo della conformità PCI DSS (SAQ A)

0

Ho difficoltà a capire / trovare le risposte per determinare il costo per diventare compatibile con PCI DSS per SAQ A.

Il sistema utilizzerà PayPal Express Checkout . Ciò significa che dovrebbe essere idoneo per SAQ A (vale a dire, i dati del titolare della carta e l'elaborazione delle transazioni avviene sul server PayPal).

Completare SAQ A è principalmente un esercizio su carta e non è richiesta alcuna valutazione di vulnerabilità da parte di un ASV.

È un questionario di autovalutazione in modo da poterlo compilare da solo, giusto? Inoltre, per SAQ A i nostri marchi di pagamento e gli acquirenti dei pagamenti ci richiedono di presentare il questionario SAQ completo come prova della convalida PCI DSS.

Questo significa che ho completato il documento e lo ho archiviato finché non è stato nuovamente necessario?

Non riesco a vedere dove sono stati sostenuti i costi. Sono ingenuo? Qualcuno può far luce, per favore?

    
posta EasyR 18.01.2017 - 12:44
fonte

1 risposta

3

The system will use PayPal Express Checkout. This means that it should be eligible for SAQ A

Non credo * PayPal Express Checkout è un'implementazione iframe, quindi non sarebbe idonea per SAQ A, ma piuttosto SAQ A-EP, che ha un numero più significativo di domande.

* Sono aperto per essere corretto su questo punto. Ma il mercante è colui che ha bisogno di essere chiarissimo su di esso come da DSS §12.8.5, che è parte di SAQ A.

It's a self-assessment questionnaire so I can fill it out myself, right?

Una corretta.

Does this mean I complete the document and store it away until it's needed again?

Dovrai aggiornarlo e rivederlo annualmente, così avrai - e potresti dover inviare al tuo processore - un nuovo documento ogni anno. E la firma su di esso viene da "Merchant Executive Officer", quindi a meno che tu non sia il Big Boss, stai compilando qualcosa a cui il Big Boss deve dare il proprio nome.

Dato che la maggior parte delle risposte probabilmente rimarrà la stessa, ci si aspetta comunque che le ricerche vengano fatte. Alcuni di essi si occupano delle pratiche annuali che ci si aspetta che facciano, come il monitoraggio della conformità PCI DSS dei fornitori di servizi. Dovresti aspettarti di rivedere il documento ogni anno e verificare che sia ancora vero, piuttosto che rispolverarlo e alterare le date.

I can't see where any cost of incurred. Am I being naive - can anyone shed any light, please?

  • Il lavoro richiesto per farlo giusto è più ampio del tono di la tua domanda suggerisce che apprezzi **.
  • Il punto cruciale del questionario è la responsabilità; il firmatario è responsabile della rappresentazione della verità del questionario e, in caso di violazione, è probabile che le sanzioni siano peggiori se il questionario SAQ risulta infondato o fuorviante.

** il tono è difficile (leggendo la scrittura e ) nel testo e non è previsto alcun intento.

    
risposta data 18.01.2017 - 16:39
fonte

Leggi altre domande sui tag