Uno de nuestros clientes nos ha pedido que completemos un SAQ-D. Aunque el PCI no es una ley, no queremos dar fe de algo que no debería aplicarse a nosotros en primer lugar.
No estamos seguros de que el cumplimiento sea necesario porque todas las transacciones con tarjeta de crédito se manejan en un sitio web de un tercero. La información que tenemos sobre el cliente no es más que el nombre, la dirección y una pequeña información de contacto (teléfono, correo electrónico).
El cliente inicia sesión, coloca los productos en su carrito y hace clic en el proceso de pago que los envía a un sitio de terceros donde ingresan la información de su tarjeta de crédito. La única información que regresa a nuestros servidores es un código de transacción utilizado por nuestro cliente para hacer referencia al pago en su área comercial externa.
¿Tenemos que hacer el SAQ-D o deberíamos rechazarlo?