Supongamos que tengo una aplicación que acepta tarjetas de crédito, pero en realidad es una pasarela de pago en Internet que no controlo.
El sitio web utilizó HTTPS y solo regresa si la tarjeta fue autorizada o no y almacena los últimos 4 dígitos del PAN.
Con esta configuración, ¿cuánto de la infraestructura, si es que hay alguna, está realmente dentro del alcance?