PCI-DSS requiere que cumpla con los requisitos si almacena, transmite o procesa tarjetas de crédito. Aunque no los almacena por completo, ¿reside el número completo de la tarjeta de crédito (incluso temporalmente) en su sitio? Si es así, estás sujeto a la SAQ-D.
El único nivel (singular) para el que califica potencialmente es el SAQ-A que se ocupa de los comerciantes que tienen transacciones de comercio electrónico o de pedidos por correo o teléfono.
Estados de SAQ-A
- Su compañía solo maneja transacciones con tarjeta no presente (comercio electrónico o correo / teléfono);
- Su empresa no almacena, procesa ni transmite ningún dato del titular de la tarjeta en sus sistemas o
locales, pero depende completamente de proveedores de servicios de terceros para manejar todas estas funciones;
- Su compañía ha confirmado que los terceros que manejan, procesan y / o almacenan
la transmisión de datos del titular de la tarjeta es compatible con PCI DSS;
- Su compañía solo retiene informes en papel o recibos con datos del titular de la tarjeta, y estos documentos no se reciben electrónicamente; y
- Su empresa no almacena ningún dato del titular de la tarjeta en formato electrónico.
SAQ-B es para comerciantes que usan dispositivos de lectura de tarjetas.
SAQ-C es básicamente para empresas que utilizan sistemas de computación en puntos de venta o terminales virtuales.
SAQ-D es para todos los demás.
Parece que los detalles de la tarjeta están ingresando en su sistema. Aunque sus intenciones son utilizar un procesador de terceros, esta no es la intención de SAQ-A. SAQ-A está diseñado para el procesamiento de terceros, de modo que los detalles de la tarjeta NUNCA ingresen en su sistema (piense en Paypal).