Tengo un SaaS B2B que mis clientes luego usan con sus propios clientes para recopilar datos en un escenario cara a cara con iPads, me gustaría expandirlos para tomar los detalles de las tarjetas de crédito. Los detalles de la tarjeta de crédito se almacenarán con un tercero compatible con PCI.
Para el procesamiento, puedo hacer que el número de la tarjeta de crédito pase por mi servidor (y conectarme con el tercero mencionado anteriormente) o utilizar a otro tercero como spreedly.com para realizar un procesamiento transparente (donde el número de la tarjeta de crédito no lo hace toca mi servidor en absoluto).
Como estoy definido como proveedor de servicios y los volúmenes son bajos, entonces creo que la única opción es 'SAQ D para proveedores de servicios'. Parece que es el más estricto (y, por lo tanto, el mayor costo) de las SAQ, y que si tuviera ese cumplimiento, podría procesar los datos de CC en mis servidores e incluso almacenar los datos de CC si quisiera.
A mí me parece extraño que necesitaría el mismo nivel de cumplimiento si los datos de CC nunca tocaran mi servidor como si hubiera elegido almacenar los datos de CC (o al menos procesarlos en mi servidor). Entonces, mi pregunta es ¿tengo esto bien o me falta algo?
Y aparte de eso, ¿deberían mis clientes tener algún nivel de cumplimiento de PCI, ya que estarían recolectando los datos de CC? A pesar de que todo estaría pasando por mi sistema y los terceros conectados.
Edit: No mencioné que el flujo de dinero termina en el banco del cliente, no en el mío, si eso tiene sentido. Así que creo que el cliente sería responsable de garantizar que utilizara un proveedor compatible con PCI y que su banco dictaría qué cumplimiento necesitarían para llegar por separado. Así que supongo que no sería mi responsabilidad asegurar que el cliente tenga el cumplimiento de PCI, pero no estoy seguro.