Prima di tutto, non sono un QSA.
Detto questo, perché stai accettando le informazioni della carta di credito direttamente sul tuo sito (anche se non lo invii al tuo server), devi compilare SAQ A-EP . Tra le cose che certifichi con questo SAQ:
- All processing of cardholder data is outsourced to a PCI DSS validated third-party payment processor
- Your e-commerce website does not receive cardholder data but controls how consumers, or their cardholder data, are redirected to a PCI DSS validated third-party payment processor
- Your company does not electronically store, process, or transmit any cardholder data on your systems or premises, but relies entirely on a third party(s) to handle all these functions
Nota che i "dati dei titolari di carta" non includono l'indirizzo di fatturazione, anche se si tratta di dati relativi al titolare della carta. In questo contesto, significa :
At a minimum, cardholder data consists of the full PAN. Cardholder data may also appear in the form of the full PAN plus any of the following: cardholder name, expiration date and/or service code.
Quindi non c'è alcun problema con la pubblicazione dell'indirizzo sul tuo sito, a condizione che le informazioni della carta non lo accompagnino.