Versione breve:
Sembra che tu sia A-EP Sembra che tu sia A , basato sui prodotti specifici a cui si fa riferimento, ma dovresti chiedere al tuo processore (s) per essere sicuro.
Se per "widget JavaScript di Amazon Payments" intendi Pagamento Amazon Express , allora sei SAQ A -EP, perché "gli elementi della pagina di pagamento provengono dal sito web del commerciante".
Amazon Payments "Login and Pay" è un pulsante che prende il sito del processore e l'intero pagamento viene eseguito sul sito del processore, quindi tecnicamente non ci sono "elementi della pagina di pagamento (che) provengono dal commerciante sito web "- la pagina di pagamento è tutta su Amazon, nessuna sul tuo sito. Quindi dovrebbe essere anche SAQ A, anche se sarebbe davvero bello se Amazon lo inserisse nel loro FAQ .
Attenzione, la distinzione tra un collegamento che invia i clienti al sito dei processori e un link che cita un iframe sul sito dei processori e un link che utilizza le richieste dirette o javascript per inviare i dati della carta al sito del processore sono, in termini di sicurezza, completamente equivalenti . In tutti i casi, un utente malintenzionato che compromette il server Web del commerciante può influire sulla posizione in cui il cliente invia i dati della carta. L'unica differenza significativa è che il cliente può vedere l'URL del processore nella sua barra degli indirizzi con qualcosa come "Login and Pay", e assumiamo che le persone controllino e sappiano di non eseguire pagamenti Amazon con aamazon.ru, anche se ha un valido certificato.
Oppure - in breve - se questo ti confonde, è perché è confuso. Di nuovo, meglio chiedere al tuo processore. Dovrebbero sapere meglio.
Se per "widget Stripe Checkout" intendi Checkout , allora sei SAQ A-EP, perché " gli elementi della pagina di pagamento provengono dal sito web del commerciante. "
Secondo Stripe , anche se Checkout è un widget JavaScript " già riposa in un iframe controllato da Stripe , puoi continuare a compilare SAQ A. " (sottolineatura mia)
Tu solo sembra essere SAQ A perché tutti i tuoi moduli di check-out sono stati ospitati dai processori e i tuoi clienti sono stati indirizzati a loro prima del checkout o tramite un iframe .
Versione lunga:
La distinzione principale qui si trova nella pagina iii del SAQ A :
The entirety of all payment pages delivered to the consumer’s browser originates directly from a third-party PCI DSS validated service provider(s)
Se tutti i processori vengono richiamati tramite un iframe, probabilmente soddisfi questo requisito. Ma se i loro "widget javascript" o "checkout widget" sono serviti dai tuoi server, allora invece ti troverai in SAQ A-EP. I tuoi processori, ovviamente, dovrebbero essere in grado di dire quali sono.
Il fatto che la parola "widget Javascript" mostri qui mi suggerisce che sei un A-EP, ma non conosco abbastanza bene le offerte di Amazon o Stripe per sapere davvero. E, onestamente, non ci si aspetta che tu sappia la differenza - lo sono.
Il set completo di aspettative per un SAQ Un commerciante da incontrare sono i seguenti:
SAQ A merchants may be either e-commerce or mail/telephone-order merchants (card-not-present), and do not store, process, or transmit any cardholder data in electronic format on their systems or premises.
SAQ A merchants confirm that, for this payment channel:
- Your company accepts only card-not-present (e-commerce or mail/telephone-order) transactions;
- All payment acceptance and processing are entirely outsourced to PCI DSS validated third-party service providers;
- Your company has no direct control of the manner in which cardholder data is captured, processed, transmitted, or stored;
- Your company does not electronically store, process, or transmit any cardholder data on your systems or premises, but relies entirely
on a third party(s) to handle all these functions;
- Your company has confirmed that all third party(s) handling acceptance, storage, processing, and/or transmission of cardholder
data are PCI DSS compliant; and
- Your company retains only paper reports or receipts with cardholder data, and these documents are not received electronically.
Additionally, for e-commerce channels:
- The entirety of all payment pages delivered to the consumer’s browser originates directly from a third-party PCI DSS validated
service provider(s).