La respuesta corta a su pregunta: en SAQ-A "media" se refiere exclusivamente a Documentación en papel que contiene datos del titular de la tarjeta. Sepa que mencionó en su pregunta que estaba interesado en el contenido de la información confidencial que un comerciante puede almacenar y no en la naturaleza física del medio que lo contiene, pero en este En caso de que deban mirar ambos elementos juntos, piensen a qué se refieren realmente los "medios" en el SAC-A.
La respuesta un poco más larga:
Comencemos con el texto de la primera pregunta en SAQ-A (en la página 4 del documento). Al evaluar el cumplimiento de las protecciones de almacenamiento de información de la tarjeta del requisito 9.5 de PCI, el documento pregunta:
¿Todos los medios están protegidos físicamente (incluidos, entre otros, los
Computadoras, medios electrónicos extraíbles, recibos en papel, informes en papel,
y faxes)?
Para los fines del Requisito 9, "medios" se refiere a todos los medios electrónicos y en papel que contienen datos del titular de la tarjeta.
Ahora, para cualquier persona sensata, esa definición rápida significa, bueno, más o menos exactamente lo que dice: "medios" se usa en un sentido muy amplio del término. Es decir, cualquier elemento físico (o al menos cualquier elemento físico separado o separable de una computadora, probablemente) que almacene o contenga información de la tarjeta de pago, ya sea que exista en papel, en formato electrónico en un disco o unidad, o en algún otro tipo de medio. Por lo tanto, el texto de la definición que obtenemos en las preguntas reales de SAQ arroja una red muy amplia.
Pero aquí está la cuestión: para fines prácticos al tratar con SAQ-A, la definición de "medios" para un comerciante real , práctica es en realidad mucho más restringida. / p>
La confusión proviene de una fuente muy comprensible: a pesar de la definición anterior de "medios" a la que se hace referencia en la pregunta / s real sobre el Requisito 9.5, las reglas de alcance que determinan qué tipos de comerciantes califican para usar el SAQ-A dice directamente que un comerciante de SAQ-A normalmente no debería tener la información de la tarjeta de pago almacenada en ningún "medio". ¿La única categoría posible de excepciones? Lo has dicho: documentación en papel. O en las palabras exactas de la lista de verificación "Parte 2g - Elegibilidad para completar SAQ A" en el documento SAQ-A (página 3):
El comerciante solo conserva informes en papel o recibos con datos del titular de la tarjeta,
y estos documentos no se reciben electrónicamente.
Línea inferior: Sí, como se usa en SAQ-A, "medios" se refiere solo a "informes en papel o recibos". A pesar de la definición confusa, también se hace referencia a una definición mucho más amplia * en el mismo SAQ. (Y, para su información, los comerciantes que do tienen medios no impresos en papel con datos de tarjetas de pago que flotan en sus operaciones deben examinar detenidamente las reglas sobre quién reúne los requisitos para presentar en SAQ-A. )
Lo sé, es suficiente para volver loco a uno. El maravilloso mundo del PCI. :)
Editar: La lista de verificación completa del alcance de SAQ-A: