Low down: Este cliente hace cero con los datos de la tarjeta de crédito (no se procesa, no pasa nada, nada), pero sí tienen un dispositivo colocado a menudo en el mismo segmento de red de un POS ( Sistema de punto de venta).
La clave es que sus clientes esperan que cumplan con los requisitos de seguridad de PCI y presenten un certificado. Dado esto, ¿qué PCI SAQ es apropiado usar?
Biblioteca de documentos PCI: enlace
SAQ A es el más aplicable, que se define como "Comerciantes no presentes en la tarjeta, todas las funciones de datos del titular de la tarjeta son subcontratadas".
Honestamente, pueden firmar su nombre con cualquiera de los SAQ porque, sin almacenar, procesar ni transmitir los datos del titular de la tarjeta, cumplen con todos los puntos del DSS. Si los fuera, firmaría un SAQ D (que es el DSS completo) porque se ve mejor.
Un mejor enfoque para ellos sería mostrar cómo el dispositivo que colocan en el Entorno de datos del titular de la tarjeta (CDE) cumple con las normas PCI DSS.
Estoy un poco confundido: si no están tratando con datos de CC de ninguna manera, entonces no hay un requisito de PCI para ellos. La respuesta inicial debe ser preguntar qué certificado quiere su cliente y luego trabajar para eso.
De hecho, al repasar los detalles de los documentos de PCI (que no he hecho en algunos meses, pero esta noche me aburrí) no hay nada que pueda retener para señalarlos. En serio, la respuesta clave a los clientes debería ser:
PCI DSS no tiene nada para nosotros, pero ¿qué estándares quiere que cumplamos?
Lea otras preguntas en las etiquetas pci-dss compliance