¿Qué tipo de conformidad con PCI necesito si no tengo datos de la tarjeta?

Esto es un poco extraño. Solo el número de cuenta principal (PAN), el nombre del titular de la tarjeta, la fecha de caducidad y el código de servicio son datos del titular de la tarjeta.

Directamente desde PCI-DSS bajo el encabezado Información de aplicabilidad de PCI DSS

  

El número de cuenta principal es el factor que define la aplicabilidad de los requisitos de PCI DSS. Los requisitos de PCI DSS son aplicables si se almacena, procesa o transmite un número de cuenta principal (PAN). Si PAN no se almacena, procesa o transmite, los requisitos de PCI DSS no se aplican.

Por lo tanto, si no está almacenando, procesando o transmitiendo el Número de cuenta principal, automáticamente cumple con la norma PCI DSS ya que no se le aplican requisitos.

Recomendaría pedirles que establezcan una reunión entre su empresa, su empresa y sus asesores de seguridad calificados (QSA). Parece que están preocupados por algunos de los requisitos de la Sección 12 del DSS ( Consulte las Instrucciones de informes para obtener más detalles ).

Dependiendo de lo que realmente estarás haciendo puede afectar el alcance. La empresa también puede ser demasiado cautelosa. Si aislaron correctamente sus datos de PCI en una "isla de tarjeta" y usted no está tratando con información de pago, sus servicios no deberían estar dentro del alcance. El demonio estará en los detalles, si expande su pregunta, trataré de enfocarme y proporcionar referencias más relevantes.

Algunas de las cláusulas específicas del DSS que son relevantes aquí son las siguientes:

  

12.1 Examine la política de seguridad de la información y verifique que la política se publique y difunda a todo el personal relevante ( incluidos los proveedores y socios comerciales ).

     

12.8 Si la entidad comparte datos del titular de la tarjeta con proveedores de servicios (por ejemplo, instalaciones de almacenamiento en cinta de respaldo, proveedores de servicios administrados, como empresas de alojamiento web o proveedores de servicios de seguridad, o aquellos que reciben datos con fines de modelado de fraude), a través de la observación , revisión de políticas y procedimientos, y revisión de la documentación de respaldo, realice lo siguiente:

     

...

     

12.8.2 Mantener un acuerdo por escrito que incluya un acuse de recibo   que los proveedores de servicios son responsables de la seguridad de los datos del titular de la tarjeta que poseen los proveedores de servicios.

     

...

     

12.8.3 Asegúrese de que haya un proceso establecido para comprometer a los proveedores de servicios   incluida la debida diligencia adecuada antes del compromiso.

     

...

En cuanto a lo que has dicho en tu pregunta, lo siguiente parece ser verdadero:

1) No maneja los datos del titular de la tarjeta en ningún momento, en ninguna capacidad.

2) No proporciona servicios gestionados que impliquen conectividad con los sistemas o el entorno de ese cliente en cualquier momento.

Como tal, no hay ninguna razón para que usted sea compatible con PCI. Usted está fuera del alcance del cumplimiento y debe informar al cliente de esto.

El entorno EC2 se valida de manera que las empresas que manejan datos de titulares de tarjetas puedan ejecutar servicios en esa infraestructura. Esas empresas todavía tendrán que validar su propio cumplimiento.