De enlace :
Nuestros productos más populares, como Pagos en sitio web, Pago y facturación exprés, ya son compatibles con PCI. Y, dado que manejamos la información de la tarjeta de sus clientes por usted, puede olvidar el tiempo, el costo y el dolor de cabeza de mantener el cumplimiento de PCI .
Por la redacción de PayPal, no necesita hacer nada si no está manejando los datos del titular de la tarjeta (debe incluir al menos el PAN - Número de cuenta principal - para una tarjeta).
En primera instancia, las multas por incumplimiento se aplican a los proveedores de pago y a los grandes comerciantes, por lo que si PayPal estuviera en línea por una gran multa, habrían estado asegurando a cada comerciante utilizando sus servicios estaría llenando su cuestionario de autoevaluación (SAQ), ya que PayPal sería responsable de garantizar que los insumos en sus sistemas también cumplan con las normas.
Incluso la autoevaluación más simple de SAQ-A estaría más allá de la mayoría de los traders exclusivos para completarse de manera confiable, solo porque tiene demasiadas consideraciones técnicas de las que no tendrían ninguna idea.
De este diagrama ( enlace ), incluso teniendo una página de producto, independientemente de si recopila datos del titular de la tarjeta, parece implicar que se debe utilizar el SAQ-A-EP. Sin embargo, SAQ-A-EP está cubriendo la situación en la que el sitio del comerciante proporciona simultáneamente css o javascript para mantener la coherencia de la presentación entre los sitios del comerciante y el proveedor, por lo que el diagrama puede indicar eso, pero no de manera inequívoca.
En general, considero que la documentación de PCI es bastante obtusa y un alcance excesivo, ya que continuamente se refieren a los datos del titular de la tarjeta como su criterio principal, pero parecen querer controlar cada sistema que alimenta su proceso, independientemente de si se incluye el PAN. o no. Proporcionar la información significa que sus datos personales y la configuración detallada de sus sistemas se proporcionan a uno o más terceros, en cuyos sistemas y procesos se espera que confíe.
La documentación de PCI se refiere a la situación even if you don't store cardholder data
, pero no cubre de manera explícita por separado la situación en la que sus sistemas no manejan ningún datos del titular de la tarjeta, es decir, ni siquiera recopilan ni transmiten eso. Tenga en cuenta que los datos solo se convierten en cardholder data
cuando incluye el PAN; de lo contrario, son solo los datos del cliente que puede tener independientemente de si realizó pagos con tarjeta de crédito, y si bien la seguridad de manejo de datos de esos datos del cliente es buena, debería ser ninguno de los negocios de las compañías de tarjetas si no incluye el PAN.
Tenga en cuenta que, técnicamente, PDT e IPN no devuelven cardholder data
, ya que no incluyen el PAN con el cliente y los detalles de la transacción devueltos.