Ci sono 3 elementi che devi prendere in considerazione con il modello di business che descrivi:
- Amazon ha bisogno di essere conforme PCI perché gestisce l'infrastruttura dietro le aziende che accettano carte di debito, di credito o prepagate. Non ci sono preoccupazioni perché Amazon, in realtà, è conforme PCI ( link )
- Il tuo fornitore di e-commerce SaaS deve anche essere conforme PCI. A seconda del fornitore con cui hai firmato un contratto, potrebbero anche essere necessari per rilevare una vulnerabilità di ASV Scan. Posso solo supporre che il tuo provider non elabori o memorizzi i dati di pagamento, ma li trasmetta solo al processore di pagamento di terze parti. In ogni caso, questa è la responsabilità del fornitore, quindi scegli attentamente il tuo fornitore. (Se vuoi saperne di più, fai riferimento a questa tabella link )
- Il processore di dati di pagamento di terze parti deve ovviamente essere PCI Complaint (e probabilmente lo è, quindi non è necessario approfondire qui).
Inutile dire che se la tua azienda (a parte il fornitore SaaS) elabora, trasmette o memorizza i dati di pagamento in loco o telefonicamente o in qualsiasi altro modo ti imbatti nel tuo modello di business, allora devi anche essere conforme PCI.
