Determinación del nivel de SAQ de PCI DSS

5

Tengo un SaaS B2B que mis clientes luego usan con sus propios clientes para recopilar datos en un escenario cara a cara con iPads, me gustaría expandirlos para tomar los detalles de las tarjetas de crédito. Los detalles de la tarjeta de crédito se almacenarán con un tercero compatible con PCI.

Para el procesamiento, puedo hacer que el número de la tarjeta de crédito pase por mi servidor (y conectarme con el tercero mencionado anteriormente) o utilizar a otro tercero como spreedly.com para realizar un procesamiento transparente (donde el número de la tarjeta de crédito no lo hace toca mi servidor en absoluto).

Como estoy definido como proveedor de servicios y los volúmenes son bajos, entonces creo que la única opción es 'SAQ D para proveedores de servicios'. Parece que es el más estricto (y, por lo tanto, el mayor costo) de las SAQ, y que si tuviera ese cumplimiento, podría procesar los datos de CC en mis servidores e incluso almacenar los datos de CC si quisiera.

A mí me parece extraño que necesitaría el mismo nivel de cumplimiento si los datos de CC nunca tocaran mi servidor como si hubiera elegido almacenar los datos de CC (o al menos procesarlos en mi servidor). Entonces, mi pregunta es ¿tengo esto bien o me falta algo?

Y aparte de eso, ¿deberían mis clientes tener algún nivel de cumplimiento de PCI, ya que estarían recolectando los datos de CC? A pesar de que todo estaría pasando por mi sistema y los terceros conectados.

Edit: No mencioné que el flujo de dinero termina en el banco del cliente, no en el mío, si eso tiene sentido. Así que creo que el cliente sería responsable de garantizar que utilizara un proveedor compatible con PCI y que su banco dictaría qué cumplimiento necesitarían para llegar por separado. Así que supongo que no sería mi responsabilidad asegurar que el cliente tenga el cumplimiento de PCI, pero no estoy seguro.

    
pregunta Richard 15.12.2014 - 22:30
fuente

3 respuestas

2

Si usted subcontrata todos los datos del titular de la tarjeta a un tercero y usted mismo requiere el cumplimiento, entonces los requisitos aplicables para SAQ A se aplican a usted. Si bien el PCI DSS consta de una gran cantidad de requisitos (es decir, SAQ D), la gran mayoría de estos no se aplicarán a usted si no maneja los datos del titular de la tarjeta. Dependiendo de los volúmenes, es posible que no reúnas los requisitos para completar un SAQ. En este caso, tendría un Resumen Ejecutivo completo en un ROC (Informe de Cumplimiento) y solo se validarán los requisitos que se le apliquen.

Si desea transmitir, procesar o almacenar datos del titular de la tarjeta, muchos de los requisitos de la norma serán aplicables para su validación y el costo y el tiempo de cumplimiento se incrementarán, aunque en última instancia, puede otorgarle una mayor libertad (y exponerlo). a mayor riesgo).

Si sus clientes manejan los datos del titular de la tarjeta, deben ser compatibles. Si te lo subcontratan, debes demostrarles que cumples. Usted, por supuesto, puede transferir esto a otro tercero compatible. p.ej. el comerciante A puede usar el proveedor de servicios B que utiliza el proveedor de servicios C para manejar los datos del titular de la tarjeta del comerciante A. En este caso, el comerciante y ambos proveedores de servicios deben cumplir con las normas, aunque solo una entidad, el proveedor de servicios C, maneja los datos del titular de la tarjeta.

    
respondido por el AndyMac 16.12.2014 - 04:40
fuente
1

Si los datos de CC nunca tocaron sus servidores, usted no sería un proveedor de servicios (PCI), por lo que no se aplica el mismo nivel de requisitos de cumplimiento en ambos casos. (Dicho esto, SAQ D cubre la mayoría de los casos, así que sí, cubre una amplia gama de participación).

Sí, sus clientes deberán tener algún nivel de cumplimiento de PCI mientras recopilan los datos. Por definición :

  

PCI DSS se aplica a todas las entidades involucradas en la tarjeta de pago   procesamiento, incluidos comerciantes, procesadores, instituciones financieras,   y proveedores de servicios, así como todas las demás entidades que almacenan,   procesar o transmitir datos del titular de la tarjeta y / o autenticación sensible   datos.

Desea pensar en asociarse con un proveedor de servicios para alejarse lo más posible del bucle. Si eres un proveedor de SaaS, concéntrate en la S y la S y no en el CC.

Actualiza el comentario a continuación

No creo que tengamos toda la información aquí.

Si eres un proveedor de SaaS, el software es " alojado centralmente ", lo que significa que se ejecuta en tus servidores. Si ese software almacena, procesa o transmite datos de la tarjeta, usted es una entidad PCI y necesita averiguar dónde encaja en el mundo de cumplimiento. Es posible que pueda obtener ayuda de su Adquiriente o Procesador para determinar cuáles son sus requisitos de cumplimiento (no puede hacer nada con esas tarjetas sin un Adquirente o Procesador, y ellos son los que (por ejemplo) recogen su SAQ y , con suerte, te ayudará a determinar cuál aplica).

Si simplemente está proporcionando software para que otras personas ejecuten sus sistemas y desea agregar funciones relacionadas con la tarjeta de crédito, probablemente se esté desviando hacia PA-DSS territorio -" el estándar de datos definitivo para los proveedores de software que desarrollan aplicaciones de pago ". Es un territorio más complejo.

Si está integrando el software de otra persona, algo así como la API de un Procesador, en su propia cuenta, entonces simplemente no lo sé, pero nuevamente, el Procesador que proporciona la API debería brindar orientación sobre las obligaciones de PCI de quienes lo utilizan su software Estoy fuera de mi alcance y no puedo decir mucho de uso.

En cuanto a su comentario "es difícil ver dónde encaja": el sistema es muy complejo; Considere esto de Wikipedia en el Procesador Vantiv : "Otra evolución de la aceptación de pagos se produjo en la forma de proveedores de software integrados (ISP) , Facilitadores de pagos (PayFacs) y Revendedores de valor agregado (VAR). " Creo que PayFacs al menos se clasifica como Comerciantes y no como Proveedores de Servicios. Verifiqué, y PayFacs al menos como Proveedores de Servicios (trabajo en Vantiv y le pregunté a un compañero de trabajo en Cumplimiento). Que va, de nuevo, a hablar con su Procesador o Adquirente. Pueden o no ser útiles, pero son un comienzo.

    
respondido por el gowenfawr 15.12.2014 - 23:29
fuente
0

Mis pensamientos: Aquí es un buen enlace que explica diferentes niveles de SAQ. Si es un proveedor de servicios, debe completar SAQ D para el proveedor de servicios. Sus clientes definitivamente necesitarían obtener el cumplimiento de PCI, ya que están recopilando datos de CC.

Otra cosa que podría ayudarlo con este descubrimiento es el documento suplementario de información de garantía de seguridad de terceros de PCI en this enlace.

Estoy de acuerdo con las respuestas anteriores de que es mejor preguntar al procesador / adquirente.

    
respondido por el avakharia 08.08.2015 - 00:34
fuente

Lea otras preguntas en las etiquetas