Recomendaría pedirles que establezcan una reunión entre su empresa, su empresa y sus asesores de seguridad calificados (QSA). Parece que están preocupados por algunos de los requisitos de la Sección 12 del DSS ( Consulte las Instrucciones de informes para obtener más detalles ).
Dependiendo de lo que realmente estarás haciendo puede afectar el alcance. La empresa también puede ser demasiado cautelosa. Si aislaron correctamente sus datos de PCI en una "isla de tarjeta" y usted no está tratando con información de pago, sus servicios no deberían estar dentro del alcance. El demonio estará en los detalles, si expande su pregunta, trataré de enfocarme y proporcionar referencias más relevantes.
Algunas de las cláusulas específicas del DSS que son relevantes aquí son las siguientes:
12.1 Examine la política de seguridad de la información y verifique que la política se publique y difunda a todo el personal relevante ( incluidos los proveedores y socios comerciales ).
12.8 Si la entidad comparte datos del titular de la tarjeta con proveedores de servicios (por ejemplo, instalaciones de almacenamiento en cinta de respaldo, proveedores de servicios administrados, como empresas de alojamiento web o proveedores de servicios de seguridad, o aquellos que reciben datos con fines de modelado de fraude), a través de la observación , revisión de políticas y procedimientos, y revisión de la documentación de respaldo, realice lo siguiente:
...
12.8.2 Mantener un acuerdo por escrito que incluya un acuse de recibo
que los proveedores de servicios son responsables de la seguridad de los datos del titular de la tarjeta que poseen los proveedores de servicios.
...
12.8.3 Asegúrese de que haya un proceso establecido para comprometer a los proveedores de servicios
incluida la debida diligencia adecuada antes del compromiso.
...